Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
RELATORE
Prof. Marco Cremonini
CORRELATORE
Giordano Zambelli
TESI DI LAUREA DI
Giacomo de Giorgis
Matr. 678481
INTRODUZIONE
Lo stage di laurea si svolto presso Besafe srl, unazienda formata da giovani imprenditori
professionisti con esperienze diversificate nel settore informatico. Lazienda che mi ha
ospitato costituisce una societ di servizi finalizzati alla progettazione, realizzazione e
gestione di infrastrutture informatiche destinate a piccole, medie e grandi imprese operanti
in tutti i settori del mercato mondiale. Il suo business si focalizza in ambito Networking,
Sistemi, Security e Servizi di Assistenza personalizzati fino a proporre soluzioni di
outsourcing del sistema informativo.
Prima di descrivere il lavoro svolto ho scelto di trattare teoricamente gli argomenti che si
vedranno poi applicati in pratica.
Il discorso di tesi comincia con una breve introduzione sullo stato della sicurezza
informatica in Italia ad oggi; il discorso molto interessante poich ho potuto riscontrare
realmente come nelle aziende la sicurezza sia vista come un costo da ridurre al minimo pi
che come un investimento sul quale costruire uninfrastruttura sicura e duratura.
Proseguendo il discorso va a trattare le motivazioni della sicurezza informatica
analizzando le nuove minacce con lo sviluppo delle infrastrutture.
Poi si passa al punto di vista dei sistemisti trattando come approcciare alla sicurezza per
valutare e agire al meglio nelle realt nelle quali ci si viene a trovare.
Gestire la sicurezza aziendale non significa solo accendere lultimo appliance che il
mercato offre ma vuol dire entrare a pieno nella conoscenza dei problemi, rischi e pericoli
con i quali lazienda si trova o si potrebbe trovare a che fare e implementare di volta in
volta le policy corrette.
Bisogna tener conto che investire poco o non investire affatto in sicurezza potrebbe
ricadere esclusivamente sulleconomia dellazienda poich se dovesse venire a verificarsi
uno dei fattori di rischio, le perdite per lazienda potrebbero essere enormemente superiori
al mancato investimento.
Il discorso di tesi passa ora a introdurre le soluzioni che sono state adottate partendo da un
discorso generale su crittografia, autenticazione, firewalling e VPN che sono gli argomenti
che si trovano nel progetto.
La Crittografia la si trova quando si parla di infrastruttura PKI e Certification Authority
che sono la teoria che sta a base dellutilizzo dei token di sicurezza; la si trova anche
quando si ha a che fare con protocolli di autenticazione come ad esempio RADIUS e SSL.
Per quanto riguarda firewalling e VPN ho scelto di fare un breve excursus sulle tipologie,
le funzionalit di base e quelle avanzate. Tutti argomenti con i quali mi sono dovuto
scontrare durante la realizzazione del progetto.
Il realizzazione del progetto descritta nellultimo capitolo. Le fasi di questa realizzazione
possono essere cos riassunte.
La prima fase ha comportato la raccolta delle esigenze manifestate dal cliente e ha fatto
emergere le seguenti caratteristiche della soluzione da proporre: stabilit, espandibilit,
interoperabilit con le nuove tecnologie (quali VoIP, ecc) e messa in sicurezza della
struttura informatica.
Dopo unattenta analisi delle esigenze sopracitate e delle problematiche presenti in quel
momento nella rete, s deciso di proporre una soluzione scalabile in grado di poter
procedere per passaggi, fino al conseguimento dellinfrastruttura ottimale senza impattare
troppo sul modo di lavorare degli affiliati.
Tra le fasi di implementazione del progetto finora svolte da notare lattivazione delle VPN
SSL tra agenzie e sede centrale e lattivazione della Strong Authentication per le quali si
trover una minuziosa descrizione.
Questo stage mi ha permesso, oltre alla realizzazione del progetto che citer in questo
lavoro di tesi, di occuparmi e acquisire conoscenze negli altri campi dellinformatica,
applicando e ampliando le conoscenze acquisite durante gli anni di corsi universitari;
facendomi rendere conto della fortuna avuta a frequentare questo corso universitario.
Sommario
CAPITOLO 1 - LA SICUREZZA INFORMATICA ..................................................................................... 1
LE RAGIONI DELLA SICUREZZA IT .......................................................................................................... 6
Verso unazienda aperta .................................................................................................................. 7
Levoluzione delle infrastrutture ...................................................................................................... 8
Dallanalisi di esigenze e risorse ai requisiti di protezione ................................................................ 9
Le minacce nellera del Web 2.0 ..................................................................................................... 12
Il calo dei virus e laumento dello spam .......................................................................................... 13
Ladware nuova fonte di reddito...................................................................................................... 13
Web 2.0 e Bot net ............................................................................................................................ 14
LA COMPLIANCE ALLE NORMATIVE ................................................................................................... 14
II
BIBLIOGRAFIA .............................................................................................................................. 99
III
IV
Capitolo 1
LA SICUREZZA INFORMATICA
gi qualche anno che il mercato della sicurezza informatica vive momenti di grande
fermento, come naturale per un mercato tutto sommato giovane. In effetti, si tratta di un
settore che nasce insieme ai computer stessi, ma fino a met degli anni Novanta rimasto un
segmento di nicchia, caratterizzato da tecnologie perlopi proprietarie.
Con la diffusione dei pc si cominciato a parlare di virus e antivirus, ma solo con
lesplosione della fase commerciale di Internet e con il proliferare delle reti che quello della
sicurezza diventato un problema di massa. Levoluzione, cui si assistito nella prima decina
di anni di questo rinnovato settore, stata segnata da cambiamenti notevoli sotto il profilo
tecnologico e non solo.
A ben guardare, fattore comune tra i settori ad alta dinamicit proprio Internet e la sua
influenza sulla societ umana, prima ancora che sulla tecnologia.
Oggi, quello della sicurezza un mercato sottoposto a forti pressioni, sul lato sia della
domanda sia dellofferta.
In questultimo, in particolare, si registra un processo di concentrazione, che sembra segnare
linizio di una fase di maturazione del mercato. In effetti, sono molte le acquisizioni che fanno
cronaca: alcune in buona parte tese ad aumentare la massa critica e molte altre necessarie per
consentire ad alcuni player di successo ma storicamente confinati in aree di nicchia di
arricchire il proprio portafoglio tecnologico.
Per quanto riguarda la domanda, invece, si osservato in Italia un marcato impulso degli
investimenti sulla spinta delle normative, soprattutto di quella legge nota come Testo Unico
sulla Privacy. Assolutamente condivisibili sotto laspetto degli obiettivi, tali normative hanno
aperto alcune diatribe sul fronte dellapplicabilit. Da qui sono divampate polemiche, per
esempio, da parte di chi ha visto un impoverimento del mercato, nonostante i grandi tassi di
crescita registrati negli ultimi anni. Lassioma di partenza su questo fronte che limprenditore
obbligato a investire per legge di fatto reagisce con fastidio puntando a spendere
semplicemente il meno possibile, senza un reale obiettivo e senza in realt la garanzia di aver
speso effettivamente il giusto per ridurre il rischio aziendale. Soprattutto viene contestato che
lobbligo porta a vedere la sicurezza come un costo, esattamente come ancora per molti vale
La sicurezza informatica
CAPITOLO 1
per tutta lICT e, quindi, perdendo di vista il valore innovativo della tecnologia e le opportunit
di business che invece si possono aprire.
Bisogna ammettere che a soffiare sul fuoco, peraltro, hanno contribuito e non poco tutti i
principali player della sicurezza che, almeno nella prima fase di sviluppo del mercato hanno
adottato una strategia del terrore, ponendo laccento sulla crescita delle minacce e del
rischio. Entrambi fattori indubbiamente impressionanti, ma cui solo recentemente sono stati
abbinati messaggi positivi sui vantaggi che derivano dalla sicurezza. Sono stati comunque i
segni della crisi a spostare le strategie, in quanto nessunazienda pi disposta a spendere
senza poter misurare il Roi degli investimenti. evidente che risulta difficile impostare un
progetto di sicurezza basato solo sulla protezione da probabili minacce, il cui risultato, se tutto
va bene, che non succede niente. Con un simile approccio, il ritorno sullinvestimento
solo evitare esborsi economici anche importanti in caso di attacco informatico: , cio, la
riduzione del rischio. Chi ha basato le proprie strategie di vendita sulla paura ha trovato terreno
fertile solo laddove la cultura del rischio era gi diffusa, cio dove esistevano i presupposti per
poter misurare tale rischio. Solo in tal modo, infatti, si pu usare tale misura per calcolare il
Roi. Ma per sfruttare la sicurezza in modo da aumentare il valore del business e arrivare a
misurare Roi decisamente pi tangibili, necessario compiere ulteriori passi avanti.
Approcci sistemici, basati su metodologie rigorose e codificate in best practice internazionali,
come lo standard BS7799 o ISO 27001, hanno permesso a molte imprese di scoprire il valore
di un sistema completo di ICT Security. A parte di chi sia il merito, se di vendor illuminati che
hanno spinto su tasti diversi o di aziende accorte che hanno saputo affrontare il problema
sicurezza con il giusto criterio, di fatto lapplicazione di analisi ben disciplinate in fase iniziale
ha consentito a molte imprese di approfittare degli assessment orientati alla sicurezza per
comprendere a fondo le dinamiche dei propri processi di business, con indubbi vantaggi anche
organizzativi. Come accennato, infatti, le imprese gi avvezze a gestire il rischio o, in altre
parole, quelle gi fortemente orientate a una corretta governance aziendale, sono state quelle
che prima di altre hanno direzionato il sistema di sicurezza sul binario giusto. Le imprese che
comunque sono partite collapproccio giusto, adottando pratiche gi consolidate a ragion
veduta, hanno compiuto un percorso inverso, arrivando a capire limportanza e i vantaggi di
una governance aziendale. Non un caso, perch, in buona sostanza, lobiettivo del legislatore
soprattutto quello di obbligare le aziende a ridurre il loro rischio. Il punto, sostenuto dai
pi, che tale obiettivo stato posto in secondo piano e che, pur essendo le best practice
indicate come un riferimento dalla legge o relativi regolamenti annessi, di fatto laccento viene
2
La sicurezza informatica
CAPITOLO 1
posto ancora una volta sullaspetto di protezione dei dati e sulla responsabilit in caso di
eventuali danni, anche nei confronti di terzi. Non essendoci precise indicazioni sui requisiti da
soddisfare per raggiungere la compliance, il risultato lincertezza. La conformit, in realt,
viene valutata da un controllore, che deve esaminare appunto il livello di rischio e confrontarlo
con il livello di sicurezza raggiunto grazie alle misure protettive adottate. evidente che un
approccio sistemico basato sulla valutazione del proprio rischio aziendale, porta direttamente
nella direzione della conformit. A tal riguardo, probabilmente, la legge avrebbe potuto aiutare
di pi le imprese a inquadrarne gli oneri.
I vantaggi di una corretta governance vanno in direzione del business, nel momento in cui non
ci si concentra solo sullaspetto dei costi, ma si impara a gestire il rischio collegandolo ai
processi aziendali. In particolare, sul lancio di nuovi prodotti o servizi, le aziende hanno spesso
difficolt a valutare i costi con precisione e quindi a fissare un prezzo adeguato a stabilire il
giusto rapporto tra domanda e offerta. Questo soprattutto negli scenari di mercato attuali, che
vedono nel Web uno strumento ancora giovane e in gran parte inesplorato per lo sviluppo del
business. Proprio su questo fronte, ladozione di un sistema di sicurezza completo rappresenta
un prerequisito fondamentale per il varo di attivit che possono portare grandi opportunit.
Lesempio pi lampante quello del mondo bancario. Se fino a poco tempo fa lattenzione era
concentrata sulle rapine oggi lo sul phishing e annesse frodi online, ma sulla sicurezza le
banche sono tradizionalmente impegnate e, appunto, hanno uninnata capacit a valutare il
rischio. Per questo rappresentano forse lavanguardia sul fronte dei servizi online resi possibili
dalla sicurezza. Gli investimenti in sicurezza, gi obbligatori, hanno spinto molte banche a
sfruttarli per avviare home banking, Internet banking e cos via. Certamente, unanalisi
semplicistica, ma tesa solo a esemplificare i benefici che si possono dedurre dalla compliance.
Il cosiddetto fenomeno del Web 2.0, che segna la consacrazione di Internet a nuovo media e
proietta diversi scenari di mercati innovativi e ancora da creare, dovrebbe ulteriormente
spingere verso una sensibilizzazione delle aziende nei confronti della sicurezza. Ladozione di
best practice resta probabilmente lunica strada sensata per valutare correttamente le proprie
esigenze e non perdere la bussola in un mare di offerte sempre pi caotico.
Sul fronte tecnologico, levoluzione dellofferta negli ultimi dieci anni circa stata
caratterizzata dalla rincorsa alla minaccia. Ogni nuovo tipo dattacco ha tipicamente
determinato la nascita di una nuova categoria di strumenti per la protezione: dal virus gli
antivirus, dallo spam gli anti spamming, dagli spyware gli anti spyware e via dicendo. La
rapidit con cui queste minacce hanno cominciato a diffondersi e, soprattutto, ad
3
La sicurezza informatica
CAPITOLO 1
autoduplicarsi, ha ben presto posto il problema di come riuscire a controllare tutto il traffico
dati per identificare queste diverse tipologie di minacce. Ancora una volta: si pone un problema
e il mercato risponde con una soluzione, cio le appliance. Sono queste ultime, infatti, le
protagoniste della sicurezza nei primi anni del 2000: soluzioni che portano in azienda
consolidati software carrozzati con hardware ottimizzati per soddisfare le esigenze di
protezione e al contempo di prestazioni, con una maggiore facilit di gestione. Su questa scia si
assistito a uno sviluppo di sistemi one box che hanno man mano affiancato in ununica
scatola pi soluzioni, arrivando a declinare in versione appliance vere e proprie suite di
protezione.
Nella sostanza, si tratta di una sorta di massificazione dellapproccio best of breed originale:
cio lintegrazione di tante soluzioni per quante minacce si vogliono fronteggiare. Se,
inizialmente, solo le grandi imprese si potevano permettere gli investimenti in competenze
necessarie per integrare sistemi sempre pi complessi, con le suite si apre il mercato anche alle
Pmi, che possono gestire un unico prodotto. La versione appliance dotata di supporto per il
remote management e proposta da un service provider ha consentito lo sviluppo del mercato
dei Managed Security Service (MSS). Finora, peraltro, confinato perlopi alla gestione dei
firewall.
Lultima generazione di suite/appliance si affermata nel corso del 2006 con la denominazione
di UTM (Unified Threat Management). Il primo indesiderato effetto del proliferare di soluzioni
UTM lapparente appiattimento dellofferta: perch mancando una definizione univoca
codificata, dietro lo stesso termine si ammassano sistemi molto diversi nella natura e nella
sostanza. Il fattore comune che si tratta di sistemi che combinano diverse soluzioni e
tecnologie di protezione. Poi, per, ci sono UTM che attuano una vera e propria integrazione di
queste ultime e altre che semplicemente si limitano ad attuare i controlli in parallelo. Ci sono
quelle che presentano una console di gestione unica avanzata e quelle che presentano
possibilit di management ridotte. Anche la stessa quantit di tecnologie presenti varia. Infine,
molto diverse possono essere le prestazioni, da valutare, inoltre, sotto il profilo del livello di
sicurezza garantito e sotto quello del throughput, considerato che tipicamente si tratta di
apparati che vanno in linea sulla rete.
In realt, i sistemi di Unified Threat Management, come suggerisce il nome, si occupano
comunque solo di un aspetto del problema sicurezza: la gestione delle minacce. Tra laltro,
senza risolvere appieno neanche questo. Infatti, la maggior parte delle soluzioni sul mercato
forniscono un all in one che, pur presentando tutte le funzioni, non le gestisce in maniera
4
La sicurezza informatica
CAPITOLO 1
integrata, tranne i sistemi pi avanzati dotati di un motore di correlazione e di una console che
effettivamente riesce a gestire in modo coordinato gli eventi registrati tramite le diverse
tecnologie. Anche con il supporto di adeguati strumenti di amministrazione, peraltro, la
complessit della tematica sicurezza pone grossi problemi di competenze. Le grandi imprese
sono le uniche che possono permettersi team strutturati, dedicandovi persone e investendo nella
loro formazione e certificazione professionale.
La carenza di specialisti, peraltro, non sembra spingere verso lalto gli stipendi dei
professionisti, perch, ancora una volta, la maggior parte delle aziende tende a sottovalutare il
problema della sicurezza e quello della compliance. In ogni caso, si tratta di costi difficilmente
alla portata della piccola impresa, mentre la media si trova in mezzo al guado. In tale
situazione, si stanno affacciando sul mercato servizi di nuova concezione. Si detto che gli
MSS tradizionali sono finora limitati e questo dipende in massima parte dalla diffidenza delle
imprese a dare in outsourcing un aspetto tanto delicato quanto la sicurezza delle informazioni
aziendali. Senza contare il problema della responsabilit legale. Per superare queste
problematiche sono stati pensati servizi che forniscono supporto per la gestione della
tecnologia e che, quindi, risolvono tutti gli aspetti legati alla complessit del threat
management.
Ancora una volta il focus, peraltro, sulla pur fondamentale protezione o, come si dice nel
settore, sullapproccio Bad Guys Out. Come accennato fondamentale anche ricercare i
benefici di unapertura sicura dei propri sistemi informativi, quindi non solo tenere fuori i
cattivi e pensare a evitare le intrusioni, ma anche creare le condizioni per cui i buoni possano
entrare e sviluppare cos il business. Non un caso che negli ultimi anni si sono sviluppate
notevolmente le tecnologie sul fronte del Good Guys In. Evoluzione soprattutto in chiave
Web, considerato che le 3A (Authentication Authorization Accounting) appartengono agli
albori della sicurezza. Nel mondo virtuale, sempre pi popolato da avatar e vissuto da
nickname le tecnologie di indentity e access management assumono un ruolo fondamentale.
In questa direzione si stanno attivando player innovativi per fornire comunque servizi di
outsourcing pi o meno parziali, combinati con servizi di consulenza. Prende sempre pi piede,
soprattutto presso la Pmi, lipotesi di nominare un responsabile della sicurezza esterno, come di
fatto accade per altre figure, quali il medico del lavoro o lRSPP (Responsabile del Servizio di
Prevenzione e Protezione) previsto dalla legge 626. Naturalmente con tutti i condizionamenti
del caso, in quanto la responsabilit dei dati, per la legge sulla Privacy, rimane il rappresentante
legale dellazienda, ma le varie figure intermedie che hanno la responsabilit dei sistemi e della
5
La sicurezza informatica
CAPITOLO 1
tecnologia possono essere consulenti esterni. Forse lunico modo per superare il problema dello
skill shortage.
La sicurezza informatica
CAPITOLO 1
coglie impreparate molte aziende: da un lato, c una scarsa percezione di quello che significa
IT security, dallaltro manca una reale percezione del rischio.
La sicurezza informatica
CAPITOLO 1
comunicazione emergenti, per le quali cresce lesigenza di sviluppare servizi a valore aggiunto.
Il riferimento al mondo del wireless e della mobilit in generale, che pone altri e nuovi
interrogativi nei riguardi della sicurezza,ma che rappresenta un percorso inevitabile per molte
aziende moderne.
La sicurezza informatica
CAPITOLO 1
Certamente una scelta sicura, ma anche costosa. Oggi, con Internet, esistono alternative molto
pi vantaggiose, ma che pongono un problema di sicurezza: ecco un primo esempio di trade off
tra investimento in sicurezza e risparmio, con la possibilit di conseguire un vantaggio
competitivo.
Soprattutto con le VPN (Reti Private Virtuali), levoluzione delle reti ha sostanzialmente
modificato il rapporto tra rete trasmissiva e sicurezza. Inoltre,essa ha contribuito a esaltare i
concetti di qualit del servizio, che di per s gi un elemento di sicurezza, e a modificare
larchitettura delle reti con laffermazione di dispositivi specializzati, o appliance, volti ad
accelerare le prestazioni allinterno della rete, e di apparati di comunicazione, i gateway, tesi a
racchiudere la rete in una sorta di capsula che ingloba allinterno tutte le complessit
architetturali e tecnologiche e semplifica linterazione con lesterno.
La sicurezza informatica
CAPITOLO 1
indispensabili, quali utili e quali probabilmente inutili. In ogni caso, buona norma di business
misurare il pi accuratamente possibile il ROI (Return On Investment) della sicurezza, come di
ogni altra spesa, assumendo, pertanto, che si tratti di investimenti e non di meri costi.
Ogni azienda deve quindi valutare le proprie esigenze in termini di sicurezza, identificando le
aree di interesse e gli ambiti nei quali sar opportuno adottare opportuni strumenti.
necessario studiare le infrastrutture utilizzate, le applicazioni e i processi aziendali, al fine di
comprendere quali investimenti conviene effettuare.
Quello che emerge una sorta di trade off tra linvestimento richiesto e il livello di protezione
che si vuole o pu ottenere.
In altre parole, il costo della sicurezza assoluta certamente insostenibile per unazienda: si
pu considerare che sia virtualmente tendente a infinito. Ma esiste anche un altro problema:
troppa sicurezza, per assurdo, risulta controproducente, in quanto vincolerebbe cos tanto
lazienda da rallentarne lattivit e diminuirne la produttivit. Mentre, al contrario, un corretto
livello di sicurezza garantisce lo svolgimento regolare e competitivo del business e,
contemporaneamente, aumenta la produttivit e la redditivit dellimpresa.
La sicurezza informatica
CAPITOLO 1
privilegiare un approccio aziendale in cui ci sono risorse destinate a tempo pieno alla gestione
della sicurezza.
Questa filosofia va estendendosi anche al cliente, dato che la crescente offerta di servizi online
finisce per portare anche questa figura allinterno delle considerazioni generali della sicurezza
aziendale.
Il grande numero di attacchi legato in gran parte alla velocit e alla collaborazione.
Nellultimo decennio la velocit aumentata su due fronti: quello delle comunicazioni e quindi
della possibilit di diffusione e di replicazione di virus e worm, e quello legato allo sviluppo
del software, con tante nuove release ognuna delle quali pu portarsi dietro delle vulnerabilit.
Per quanto riguarda la collaborazione difficile immaginare oggi unazienda il cui lavoro non
sia il frutto di cooperazione fra due o pi dipendenti, se non di due o pi reparti; il lato
negativo, relativamente alla sicurezza che pi si mettono in condizione di collaborare due
utenti e pi si d spazio ad un uso illecito di questi strumenti.
Non bisogna dimenticare, infatti, che dagli Anni 90 ad oggi le conoscenze informatiche di chi
effettua degli attacchi vanno decrescendo: mentre le prime incursioni richiedevano conoscenze
avanzatissime dei sistemi e dei protocolli di comunicazione,oggi sono disponibili su internet
tantissimi strumenti che spaziano da semplici script a evolutissime piattaforme in grado di
decidere autonomamente quale attacco effettuare in base al sistema attaccato, che possono
essere semplicemente scaricati e lanciare senza sapere quali vulnerabilit del software o dei
protocolli sfruttino.
I cosiddetti script-kiddies, ovvero le persone con conoscenze tecniche molto limitate che
utilizzano questi strumenti quasi per gioco, hanno popolato le cronache dei giornali nel
febbraio del 2000 quando vennero effettuati i pi clamorosi attacchi di tipo Distributed Denial
of Service ai server di Ebay, di Yahoo!, di Amazon e molti altri causando danni per milioni di
dollari in mancati profitti. In particolare lattacco a Yahoo! ha raggiunto punte di Gigabyte di
traffico al secondo, mettendo bene in chiaro che un attacco DDOS ben orchestrato pu mettere
in ginocchio qualsiasi rete.
Si tratta di una tendenza in aumento, che render sempre pi probabile essere vittima di
attacchi e che sta mutando rispetto agli obiettivi, indirizzandosi sempre pi verso una logica di
profitto anzich di sfida.
Tutto ci porta verso un approccio integrato e olistico alla sicurezza. Negli Stati Uniti gi dal
Dicembre 2003 stata introdotta una Task Force per la Corporate Governance sotto il controllo
della National Cyber Security Partnership, il cui scopo di sviluppare e promuovere un
11
La sicurezza informatica
CAPITOLO 1
La sicurezza informatica
CAPITOLO 1
nessuno dei virus emersi nel 2006 ha causato unepidemia, come avveniva in passato. Se da un
lato, come accennato, questo calo si deve allo spostamento delle energie degli hacker verso
attivit pi redditizie, dallaltro non va dimenticato che ormai quasi tutti i pc sono protetti da
antivirus costantemente aggiornati, che riducono significativamente le preoccupazioni e i
danni. In effetti, sono oltre 200mila le varianti di virus attualmente in circolazione, ma i tool
per lindividuazione e la rimozione sono diventati accurati e largamente disponibili.
Un problema in costante crescita , invece, quello dello spam, che secondo alcune fonti
raggiungerebbe oggi una percentuale pari all80 90% del totale delle mail in circolazione. Il
costo associato notevolissimo, sia in termini di tempo perso per cancellare le mail sia perch
lo spam rallenta i sistemi, intasando le reti trasmissive. Per non essere individuati, gli spammer
ricorrono a trucchi come quello di utilizzare domini poco noti e che cambiano con una rapidit
impressionante. Le tradizionali blacklist degli anti spam impiegano circa 20 minuti per
bloccare un sito, ed questo il ritmo tenuto dagli spammer nel modificare lURL di
provenienza. Dato che registrare un dominio costa pochi dollari, il vantaggio economico
comunque notevole. Inoltre, utilizzano i nomi di dominio di piccole isole, come quella di Man
o quella minuscola di Tokelau, nel Pacifico,un fenomeno noto comespam-Island hopping.
Legato allo spam il phishing, ovvero linvio di mail che sembrano provenire da unazienda
reale, come una banca o un sito di e-commerce, con lobiettivo di estorcere informazioni
riservate. Nel 2006 ne sono stati censiti circa 17mila, secondo Secure Computing Research.
In effetti, oggi i tool necessari per attivit di spamming e phishing sono pubblicamente
disponibili su Internet, mentre possibile acquistare elenchi di indirizzi validi con milioni di
nominativi per poche decine di euro.
La sicurezza informatica
CAPITOLO 1
Le principali fonti di malware, cio i siti che dispensano il software allignaro visitatore, sono
quelli pi gettonati, come quelli dei divi o di eventi sportivi molto seguiti: i mondiali di
Germania, per esempio, hanno portato alla circolazione di un virus camuffato da foglio
elettronico della classifica, e di uno spyware nascosto in un salvaschermo.
La sicurezza informatica
CAPITOLO 1
Il termine stessocompliance, del resto, secondo il dizionario della lingua inglese, significa
obbedire alle regole fissate da qualcuno. evidente che in tutto il mondo una legge
comunque vista come unimposizione. Poco importa, per esempio, se il Sarbanes Oaxley Act,
noto come SOX, sia stato varato per evitare casi come quello della Enron, dipingendo un
modello tutto sommato di buon senso e semplice trasparenza nella governance aziendale.
Quanti indossano le cinture di sicurezza in macchina solo perch previsto dalla legge, senza
considerare che statisticamente queste sono utili a evitare danni in caso dincidente e molto
spesso determinanti fino a salvare la vita? bene sottolineare che la SOX, la legge sulla
Privacy e quella sulle cinture di sicurezza non sono state varate per il bene del cittadino, ma,
pi correttamente in una societ democratica, costituiscono regole per la convivenza e fanno
da riferimento in caso di vertenze (per inciso: non si ha il diritto di schiantarsi contro il
parabrezza perch non si ha voglia di mettere le cinture, in quanto si crea un danno per la
societ e per gli altri, oltre e prima che per se stessi).
Il buon senso rende evidente, che dovendo comunque soddisfare la compliance, la cosa pi
intelligente trasformare tale obbligo in unopportunit di crescita. Trasformare, in altre
parole, quello che appare come un costo odioso in un investimento vantaggioso.
Sembrerebbe un classico consiglio buonista, bello in teoria ma poi di difficile se non
utopistica applicazione, se non fosse che molte pi imprese di quanto non si pensi hanno
affrontato la questione dal verso giusto, raggiungendo risultati. Diversi casi si trovano nel
mondo bancario, dove, per esempio, si approfittato della compliance per aggiornare i sistemi
di sicurezza, innalzando la stessa e aprendo i servizi online,generando pertanto nuovo business
e aumentando la raccolta del denaro.
Adottare lapproccio giusto pi facile di quanto possa sembrare. Infatti, semplicemente
opportuno concentrarsi sulle proprie esigenze di business, senza guardare nel dettaglio i
requisiti delle normative. Facendo riferimento alle generiche indicazioni della legge
internazionale e italiana o agli standard e alle best practice da queste ultime citate e prese a
modello, infatti, si ottiene tipicamente una lista di azioni e di controlli per la sicurezza, che
praticamente impossibile mettere tutti in pratica in un sistema unico, relativamente omogeneo e
umanamente gestibile. Se, poi, le imprese vogliono adottare il classico modello del best of
breed (anche perch la legge richiede di fare il massimo sforzo), palese che la security ICT
diventa ben presto una variabile impazzita ingovernabile.
Se, invece, si adotta il tradizionale approccio basato sulla misurazione del rischio, partendo
dai processi di business, dal loro valore e dallimpatto che un eventuale danno potrebbe portare
15
La sicurezza informatica
CAPITOLO 1
sugli stessi, si ottengono tutte le indicazioni necessarie per definire quali sono i rimedi per la
riduzione del rischio. Si pu cos progettare un sistema di sicurezza, il cui obiettivo principale
quello di garantire lintegrit del processo di business, ma che avr con ogni probabilit
leffetto collateraledi soddisfare la compliance.
Innanzitutto occorre considerare che qualsiasi legge contempla, di fatto, tre caratteristiche:
lassunzione di responsabilit, la trasparenza e la misurabilit. Il primo evidentemente parte dal
presupposto che se esistono delle regole queste possano essere trasgredite ed necessario che
qualcuno sia responsabile del rispetto di tali regole in azienda. Parlando di risk management,
peraltro, la legge tipicamente richiede che sia definito il responsabile o i responsabili che hanno
il potere di controllare il rischio. Per trasparenza sintende la conoscenza e la visibilit dei
controlli nella risk management e degli asset e processi di business che vanno protetti. Non si
tratta, infatti, di mettere una scatola in cassaforte, ma necessario entrare a fondo, per esempio
nei processi, per capirne il funzionamento e prevenire il modo in cui potrebbero essere
attaccati. La misurabilit necessaria per avere consapevolezza dei risultati ottenuti. palese
che si tratta di caratteristiche che dovrebbero essere comunque introdotte in azienda per la
stessa gestione dimpresa.
Ponendo laccento su queste tre caratteristiche si gi a met strada nel cammino verso la
compliance. Un altro punto fondamentale, consiste nel capire che questultima non costituisce
uno stato assoluto univoco. In altre parole, la compliance non raggiungibile in modo
inequivocabile e il suo soddisfacimento deve essere dinamico. Di fatto, il controllore (auditor
in dizione inglese) che stabilisce se un impresa in linea con legge. Se non si entra in una vera
e propria fase di trattativa, poco ci manca (c da scommettere sul fatto che ci accade
normalmente in molti paesi esteri). La documentazione pertanto fondamentale quanto il
sistema di sicurezza stesso. Documentazione che dovr testimoniare fino in fondo che quanto
stato implementato, la gestione dello stesso e tutte le azioni correlate alla sicurezza,
costituivano la sceltagiusta.
Con il pensiero rivolto agli obiettivi di business, la scelta non potr che essere giusta, perch
sar certamente tesa a proteggere le attivit pi preziose per lazienda: tipicamente quelle che
generano pi soldi. Cio le prime che vengono comune mente analizzate dai controllori.
Lapproccio olistico, che parte da una fase di risk assessment e costituisce un processo ciclico
per la sicurezza,porta in s il rispetto della compliance, a patto che non venga implementato un
sistema statico.
16
La sicurezza informatica
CAPITOLO 1
Lapproccio basato sul rischio (inteso come misura del danno eventuale e da non confondere
con la presenza delle minacce, che ineluttabile) ha il vantaggio di essere pi vicino al
business che al dipartimento IT, quindi anche pi facile da far comprendere al top
management. Si ottiene la compliance, ma si investe per garantire la sicurezza del business e
per rendere i processi IT allineati con questultimo.
17
Capitolo 2
CAPITOLO 2
comunicazione audio o video, per esempio, la mancanza di integrit anche di una parte dei dati
pu determinare lincapacit dello stabilire la comunicazione.
In altri termini, il tasso accettabile di perdita dei pacchetti dati trasmessi risulta molto ridotto in
una rete convergente, che, tra laltro, dovr essere dotata di caratteristiche di Quality of
Service, rispetto a una rete best effort, allinterno della quale stato concepito il frame loss. In
questi casi, una corretta policy di sicurezza aiuta a impostare una rigidit della rete e, insieme
alla QoS, permette di rendere pi efficiente la gestione della rete stessa.
Una volta che nessun altro abbia letto linformazione, che questa sia disponibile allutente
autorizzato e che sia giunta integra, essa risulta comunque inutile o peggio dannosa se stata
falsificata. Lautenticit la garanzia che il dato ricevuto sia effettivamente quello trasmesso.
Ma non solo: importante anche lassicurazione che a trasmettere il dato sia effettivamente
stato il mittente indicato. Il destinatario di un messaggio deve essere sicuro che chi glielo ha
inviato sia esattamente chi dice di essere, cos come deve essere certo che il messaggio
originale non sia stato modificato,magari stravolgendone il contenuto.
Dualmente, la non repudiation autentica il destinatario nei confronti del mittente e garantisce il
primo dal rischio che il secondo non rinneghi il contenuto del messaggio. Se si implementa un
sistema di ordini online, necessario che chi emetta lordine non possa rifiutare il pagamento o
la consegna della merce, negando lordine stesso. Per questo, per, deve essere possibile
dimostrare sia lemissione dellordine sia che questo sia stato realmente effettuato dal cliente
reticente.
Tutte le minacce alla sicurezza, di fatto, toccano uno di questi aspetti: unintrusione mina la
riservatezza, un Denial of Service blocca la disponibilit, un virus distrugge lintegrit, un
defacement o uno spoofing intaccano lautenticit.
Per ciascuna di queste minacce esistono delle soluzioni che, pi o meno efficacemente, a
seconda delle capacit implementative, possono scongiurare il rischio. Data la vastit delle
problematiche, peraltro, evidente che lunico utile un approccio globale.
19
CAPITOLO 2
20
CAPITOLO 2
tutto il mondo) a quello di pochi giorni se non ore (ventiquattro sono le ore impiegate da I
Love You nel 2000 per raggiungere mail server in tutto il Globo).
Anche le tecniche di programmazione dei virus sono evolute, tanto che adesso sono nati
distinguo importanti, per indicare programmi con metodi di attacco diversi ed effetti molto
differenti e, spesso, devastanti. Gli antivirus, fortunatamente, sono evoluti con loro e
permettono di controllare le risorse, a partire appunto dalla connessione a Internet e dalla posta
elettronica, cercando di bloccare gli attacchi sul nascere. In generale, purtroppo, i primi a
essere colpiti sono indifesi, perch solo dopo la scoperta di un nuovo virus, worm, trojanhorse
o altro codice, possibile mettere a punto la cura e il vaccino.
Prima ancora di Internet, a dare una svolta alle problematiche della sicurezza ha provveduto la
nascita delle architetture LAN e dellinformatica distribuita. A partire dalla seconda met/fine
degli Anni 80, con la grande diffusione delle reti locali e dei modem, si sono diffuse le
architetture di accesso remoto, ponendo nuove problematiche di autenticazione e trasmissione
dei dati per utenti dial-in. Il passo immediatamente successivo stato quello
dellinterconnessione delle reti LAN di grandi aziende sparse sul territorio. Sui dispositivi per
linternetworking, i router,sono stati diffusi i primi sistemi di sicurezza per controllare gli
accessi.
In seguito, questi gateway si sono evoluti fino alla nascita dei firewall con lesplosione di
Internet nei primiAnni90.
Diventati presto indispensabili, i firewall controllano, identificano e filtrano il traffico in
entrata e uscita dalla LAN verso altre reti, tipicamente Internet. Tali soluzioni di protezione
perimetrale sono generalmente installate su server, router o dispositivi dedicati.
Tra le funzioni pi recentemente aggiunte a quelle elementari di tali dispositivi, grande
successo ha riscontrato la realizzazione di DMZ (Demilitarized Zone), che consente di creare
zone delimitate per fornire laccesso a determinate risorse, mantenendole per separate dal
resto della rete locale.
Le funzioni del firewall si vanno comunque estendendo, con la diffusione di soluzioni mirate
alla protezione non pi limitata solo al perimetro esterno. In questa evoluzione rientrano i
personal firewall, cio soluzioni pensate per la protezione della singola macchina. Questi
devono il loro successo alla crescita della diffusione dei notebook, dove, peraltro, il firewall
torna alla funzione di protezione perimetrale.
Pi a fondo, invece, arriva il concetto degli embedded firewall, che vengono integrati
direttamente sulla scheda di rete. Uno dei vantaggi della soluzione embedded consiste
21
CAPITOLO 2
CAPITOLO 2
Un esempio immediato dei vantaggi che pu portare lintegrazione dei sistemi quello
dellautenticazione. Nei sistemi informativi aziendali gi di media dimensione ci si confronta
con lesistenza di directory multiple, che elencano gli utenti ciascuna secondo un proprio punto
di vista. Sono directory organizzate da ogni dipartimento aziendale, che per ogni dipendente
23
CAPITOLO 2
elabora particolari informazioni. Cos come esistono directory impostate dalle particolari
applicazioni che devono servire.
Questa situazione porta a due ordini di problemi. Il primo vissuto dallutente, che deve
autenticarsi ogni volta che accede a unapplicazione, a un database o a un server diverso. Con
tutte le difficolt che questo comporta, quale il dover memorizzare pi user ID e password.
Alle volte le impostazioni delle applicazioni stesse impediscono di poter adottare lo stesso tipo
di identificativi: per esempio, un mail server potrebbe essere stato configurato dal responsabile
in modo che ogni account abbia come user ID nome.cognome, che difficilmente
impostabile come entry di un sistema legacy.
Il secondo problema di carattere gestionale, con una mole di dati che si replicano e sono
difficili da mantenere aggiornati e consistenti. Si pensi allimpiegato che lascia il posto di
lavoro: il suo account deve essere cancellato da tutti i sistemi singolarmente. La situazione
tipica che, in una buona percentuale dei sistemi, i privilegi di accesso del dipendente
rimangono attivi anche a distanza di molti mesi dalle sue dimissioni o dal suo licenziamento.
Per risolvere questi problemi, che possono essere alla base di criticit nella sicurezza aziendale,
sono state sviluppate delle tecniche cosiddette di Single Sign On (SSO), tali per cui lutente ha
la necessit di autenticarsi una sola volta con un server centrale.
Sar poi questo a effettuare le autenticazioni successive mano a mano che lutente richiede
laccesso a un nuovo server o applicazione, facendosi in un qualche modo garante della sua
identit.
Un approccio sistemico
Per poter realizzare lintegrazione delle soluzioni di sicurezza, tanto pi quanto maggiore si
vuole che sia il livello dintegrazione, opportuno adottare un approccio sistemico, che
abbracci linsieme delle problematiche della sicurezza partendo dalle esigenze aziendali e
traducendo le stesse in policy di sicurezza. Queste andranno poi opportunamente adattate e
implementate nei vari sistemi in maniera consistente. Si ottiene, cos, un sistema robusto in cui
tutte le soluzioni collaborano alla protezione e alla prevenzione.
Un tale sistema, peraltro,non consiste solo in un insieme integrato di applicazioni, pi o meno
automatiche. Come gi evidenziato, la sicurezza anche una questione organizzativa.
Poco o nulla servono le precauzioni se, poi, nessuno le adotta. Le policy oltre che definite
devono essere implementate. Molte di queste, per, non sono automatiche o, comunque,
possono essere disattese dagli utenti, anche senza intenzioni dolose, ma semplicemente per
24
CAPITOLO 2
La necessit di un responsabile
Un sistema del genere deve essere quindi gestito sia nelloperativit di tutti i giorni sia nella
sua pianificazione complessiva. Entrambe sono fasi delicate, che richiedono un impegno
crescente allaumentare delle dimensioni aziendali, delle risorse messe sotto controllo e,
ovviamente, delle soluzioni implementate.
La complessit che ne emerge, unitamente allimportanza dei sistemi di sicurezza, suggerisce
la definizione di responsabilit ben precise, con la nomina di un responsabile della sicurezza. In
Italia, alcune normative impongono la presenza di un responsabile della sicurezza IT in azienda
(da non confondere con quello imposto dalla legge 626, che riguarda la sicurezza del posto di
lavoro). Il security manager, come viene spesso indicato con dizione inglese, preposto alla
gestione del sistema di sicurezza e pu essere perseguito anche penalmente (come prevede il
DPR 318) in caso di danni causati da inadempienze alla sicurezza da parte dellazienda.
25
CAPITOLO 2
A seconda delle realt, potr essere necessario affiancare al responsabile uno staff, variamente
composto. Alcuni studi indicano come ideale un rapporto 1 a 25, tra personale dedicato alla
sicurezza e numero di postazioni (client, server e nodi di rete inclusi).
Nella realt, naturalmente, sono i budget IT a dettare le regole per il dimensionamento dello
staff.
Si consideri, per, che in unazienda di medie dimensioni, dotata di un sistema gi
minimamente sofisticato, sarebbe opportuno poter contare almeno su un responsabile, un
database manager, un addetto alla manutenzione e almeno un amministratore.
Leccesso di informazioni
Un problema derivante dallimplementazione di un sistema integrato non supportato da un
adeguato strumento di amministrazione legato alleccesso di informazioni che il security
manager si trova a dover gestire.
Ogni soluzione del sistema, dallantivirus al firewall, dai sistemi di rilevamento delle intrusioni
a quelli per il controllo degli accessi, alle soluzioni per lidentity management, alle sessioni
dautenticazione e cos via, genera delle informazioni, registrando gli eventi che sono tenute a
monitorare. Si stima che solo il firewall di una media organizzazione, come potrebbe essere
una banca, registra circa ventimila eventi al giorno.
CAPITOLO 2
Anche cos, peraltro, non pensabile gestire la mole di dati, se questa non viene
preventivamente filtrata da un sistema di reportistica intelligente che consente di visualizzare le
informazioni con formule di sintesi immediate, per esempio legate al rischio connesso con
levento.
Nel caso prima esemplificato, peraltro, questo non sarebbe probabilmente sufficiente, se non in
presenza di un motore di correlazione intelligente dei dati, che fornisce un primo elemento di
supporto alle decisioni, di cui lamministratore del sistema ha evidente bisogno, altrimenti non
avrebbe le capacit gestionali per reagire alle situazioni che potrebbero compromettere processi
e attivit essenziali per lazienda stessa. Senza contare che anche il semplice svolgimento delle
attivit quotidiane dellamministratore potrebbe risultare problematico.
CAPITOLO 2
comportamenti messi in atto dalle societ che producono soluzioni per la sicurezza per testare e
mettere a punto minacce particolarmente efficaci. Per queste ragioni, per esempio, le societ
che realizzano antivirus non diffondono mai informazioni su eventuali codici maligni
individuati, prima di avere reso disponibile un sistema di protezione.
Un altro aspetto che colpisce la facilit con cui possibile condurre un attacco, anche da
parte di chi non dispone di alcuna conoscenza specifica. Nellesempio descritto prima, lutente
stato contagiato dal virus accedendo a un sito Web, attraverso il quale lattaccante, sfruttando
una vulnerabilit nota di Internet Explorer, riuscito a scaricare sulla sua macchina del codice
ed eseguirlo. Per installare adware o spyware , infatti, sufficiente predisporre lexploit su un
sito Web, caricare un eseguibile e indurre gli utenti ad accedervi. Su Web sono disponibili tutte
le informazioni utili allo scopo, comprese quelle per copiare lo schema e adattarlo per frodi di
svariato tipo.
Il caso citato mette in evidenza anche un altro tema interessante, per certi aspetti collegato alla
facilit di lanciare un attacco. Si sta assistendo a un cambiamento negli obiettivi degli attacchi
basati su codice malevolo che risultano non solo sempre pi mirati, ma anche sempre pi
indirizzati a ottenere denaro. Sembrano, insomma, definitivamente terminati i tempi in cui gli
hacker violavano i sistemi per il gusto di unaffermazione personale.
Protezione multilivello
Gi da tempo la proliferazione delle minacce e la consapevolezza della protezione dei dati
come elemento strategico hanno messo in evidenza che non possibile gestire la sicurezza
allinterno dellazienda in modo manuale n, tanto meno, amatoriale. necessario personale
specializzato e dedicato e lutilizzo di sistemi in grado di automatizzare le azioni protettive e la
risposta agli attacchi.
Il passo successivo, che si evidenzia sempre pi, non solo nei messaggi di marketing, ma anche
nei prodotti resi disponibili dai vendor che operano nel settore dellITSecurity, che essere
reattivi non basta pi.
La prima ragione per cui lapproccio reattivo non sufficiente legata alla rapidit con cui le
minacce riescono a diffondersi e arrecare danni: si pensi che un virus pu impiegare meno di
15 minuti per diffondersi, a livello mondale, su centinaia di migliaia di computer.
Anche nel caso in cui si riuscisse, intervenendo sulla tecnologia, ad accelerare i tempi di
risposta, un sistema reattivo, basato sulla conoscenza della minaccia da cui difendersi, non
potrebbe fare nulla rispetto a minacce di nuovo tipo, i cosiddetti attacchi del giorno zero.
28
CAPITOLO 2
Essere proattivi non per facile e richiede una sinergia tra soluzioni tecnologiche adatte e il
loro inserimento allinterno di una strategia specifica aziendale indirizzata alla sicurezza.
Da un punto di vista tecnologico la tendenza quella di utilizzare una combinazione di
tecniche differenti e di prevedere sistemi in grado di operare in modo coordinato a pi livelli,
in diversi punti della rete e capaci di intervenire in modo differenziato in funzione del livello di
rischio.
La sicurezza , infatti, sempre un compromesso tra obiettivi di business e requisiti operativi e
nel caso in cui si segua un approccio proattivo, particolare attenzione va posta alla
configurazione delle soluzioni e al loro corretto inserimento allinterno dellinfrastruttura, in
modo da evitare la generazione di falsi positivi, in grado di spostare il delicato equilibrio tra
vantaggi e svantaggi.
Un contributo importante per la realizzazione di un approccio proattivo fornito dalle nuove
tecniche di individuazione delle minacce basate sul riconoscimento delle anomalie di
comportamento: per esempio un eccessivo e ingiustificato flusso di traffico su una certa porta,
il comportamento di un protocollo oppure una chiamata alla rubrica da parte di un messaggio
di posta elettronica.
Altrettanto importante, per un approccio proattivo di successo, imparare dallesperienza,
prevedendo, allinterno del processo di protezione, lo spazio per un continuo feedback
proveniente dallanalisi dei risultati prodotti dai comportamenti adottati in precedenza.
Gli aspetti strategici sono altrettanto importanti. Da una parte opportuno predisporre un
disegno architetturale e regole di accesso alla rete che consentano, ai non autorizzati, di
raccogliere il minor numero di informazioni possibili. Dallaltro necessario, come sempre,che
venga diffusa una cultura della sicurezza tra il personale interno e che venga fatto comprendere
come, per esempio, la divulgazione di un insieme di dati apparentemente non correlati e di
poca importanza, possa rappresentare lelemento abilitante per lanciare un attacco efficace o
per diffondere informazioni riservate.
Per terminare, una nota positiva: lutente riuscito a sbloccare i file senza sottostare al ricatto,
grazie a un reverse engineering del Trojan che ha permesso di capire le modalit di azione del
(semplice) sistema di cifratura e di scrivere un decifratore adeguato.
CAPITOLO 2
rispetto al 2004, che pure aveva registrato un aumento del 14.1% su un 2003 protagonista di
grandi attacchi catastroficamente andati a buon fine. Eppure permangono parecchie ombre sul
grado di maturit manifestato dal mercato italiano.
Se si osserva pi nel dettaglio, si nota che a crescere sono soprattutto software (+18,0%) e
servizi (+21,3%), mentre lhardware si attesta su un incremento del 2,2%. In massima parte ci
facilmente spiegabile osservando che il valore reale delle soluzioni di security proprio nel
software e nei servizi, essendo il pezzo di ferro considerato ormai alla stregua di una
commodity. V pure da considerare che nelle appliance, in particolare quelle integrate di
ultima generazione, la parte predominante del prezzo ancora una volta determinata dai
moduli software scelti. Infine, molte imprese tendono a consolidare le risorse server e a
sfruttare quanto gi si ha in casa.
Se si guardano pi in dettaglio gli elementi che formano quelle cifre, si nota che i servizi sono
ancora costituiti nella maggior parte dalla consulenza per la progettazione e le fasi di
assessment in fase dimplementazione dei sistemi di sicurezza. Questo denuncia un mercato
giovane rispetto a quello di altre nazioni dove i sistemi di sicurezza aziendali sono gi alla
seconda o terza generazione. Le percentuali di penetrazione presso le imprese italiane delle
tecnologie e soluzioni di sicurezza portano alla stessa conclusione, mostrando come solo
antivirus (posseduto dal 97% delle aziende) e il firewall (71%, sempre secondo il Rapporto
Assinform 2006) siano largamente diffusi, seguiti dalle soluzioni per il monitoraggio degli
accessi, in crescita. Si tratta infatti di soluzioni basilari, che le imprese avrebbero dovuto
adottare da tempo (e in molti casi lo hanno fatto, a onor del vero, ma non andando poi oltre),
mentre buona parte del resto del mondo si convince sempre pi dei vantaggi potenziali
apportati da una strategia di governance della sicurezza, che contempli massicci investimenti
nellidentity management,quale elemento di collegamento tra lICT e il business.
Pi che le tecnologie, comunque avanzate e in continuo sviluppo, a consentire tale auspicabile
allineamento del business con lIT e specificatamente con lICTsecurity lapproccio
strategico che opportuno adottare nei confronti della sicurezza e della sua implementazione.
Senza bisogno daddentrarsi in dissertazioni sulleconomia mondiale, ma anche solo pensando
alla spinta sulla liberalizzazione cui si assiste in chiave europea soprattutto, facile
comprendere come la pressione della concorrenza si faccia ogni giorno pi forte, rispetto anche
solo a qualche lustro fa. La conseguente dinamicit del mercato gi da sola basterebbe a
sviluppare le tanti pressioni che agiscono sui responsabili del business in impresa. Tali
pressioni insieme ai diversi fattori che influenzano positivamente o negativamente il business
30
CAPITOLO 2
31
Capitolo 3
CAPITOLO 3
e che abbia il tempo per aggiornarsi sulle nuovemacro vulnerabilit e minacce e risorse
sufficienti per affrontarle.
In ogni caso, per aziende anche minimamente strutturate, la figura del security manager si
appresta a diventare irrinunciabile. La presenza di un firewall e un antivirus, per lungo tempo
considerata esaustiva per assicurare la protezione aziendale, non deve essere considerata pi
sufficiente, anche per le realt piccole. Sono richiesti strumenti integrati, processi di
assessment delle vulnerabilit e una gestione e un controllo costante e dinamico delle soluzioni
e delle policy di protezione implementate.
Infatti, sempre pi frequentemente,le PMI hanno lo stesso tipo di problematiche e le stesse
esigenze delle aziende di livello enterprise, con linconveniente di disporre di risorse inferiori.
Daltra parte lofferta di mercato negli ultimi anni si occupata molto delle esigenze delle
aziende pi piccole e sono ormai disponibili, anche a costi accessibili alle PMI, soluzioni di
sicurezza con portata analoga a quelle di classe enterprise.
In molti casi, la consapevolezza da parte delle aziende dellimportanza della sicurezza e la
contemporanea constatazione di non disporre degli strumenti adeguati per affrontarla in modo
corretto internamente hanno indotto a indirizzarsi verso strutture esterne dedicate. I servizi di
sicurezza gestiti sono certamente un trend in continuo aumento.
Lofferta di servizi ampia e variegata e include la gestione e laggiornamento tecnologico nel
tempo di firewall, antivirus, IP/VPN, intrusion detection, vulnerability assessment, filtraggio
dei siti Web e reportistica su tutte le attivit sospette e bloccate.
La pi recente tendenza legata alla gestione della business continuity, mano a mano che,
come si diceva prima, questa si afferma come un aspetto trasversale tra sicurezza e business.
I vantaggi di affidarsi a una struttura esterna sono quelli tipici delloutsourcing: la possibilit di
avere una copertura 24x365 (essenziale per questi compiti), di potersi affidare a personale
specializzato dotato di tecnologie allavanguardia e costantemente in aggiornamento, che
effettui un monitoraggio costante e riveda periodicamente lesposizione al rischio dellazienda.
Un altro aspetto fondamentale la capacit dintervento rapido, in un ambito in cui la
differenza tra fermare un attacco entro pochi minuti oppure lasciarlo proliferare per unora pu
fare una grandissima differenza.
La contropartita rispetto a questa serie di vantaggi risiede nellaffidarsi a un soggetto esterno e,
in qualche modo, perdere una percentuale di controllo su alcuni aspetti gestionali o informativi.
In conseguenza di ci sta incontrando un crescente successo un approccio indirizzato
alloutsourcing parziale, in cui lazienda si affida a una struttura esterna per la verifica, il
33
CAPITOLO 3
34
CAPITOLO 3
CAPITOLO 3
Ai fini della protezione delle risorse (in particolare delle informazioni),che rimane il fine
ultimo, il dato pi importante quello della criticit. Tanto che opportuno essere piuttosto
rigorosi nel definirla, ricorrendo eventualmente a una sorta di classificazione e dividendo, cos,
le informazioni in:
Sensibili: Sono le risorse pi importanti, che vanno protette da eliminazioni o modifiche
non autorizzate, garantendone disponibilit e integrit, oltre che riservatezza. In
generale, sono dati che devono essere protetti con pi di una normale garanzia di
accuratezza e completezza. Le transazioni finanziarie o le azioni legali dellazienda
sono due esempi di questo tipo di informazioni.
Riservate: Anche in questo caso va assicurata la riservatezza. Si tratta perlopi di dati
destinati a essere rigorosamente utilizzati solo allinterno dellimpresa. Per questa
categoria di informazioni il danno maggiore potrebbe derivare da una loro divulgazione
non autorizzata. Per esempio, informazioni riguardanti i risultati finanziari o lo stato di
salute di aziende private.
Private: Per certi versi si potrebbe considerare una classe della categoria precedente.
opportuno, per, considerarla a parte perch vi rientrano i dati che sono soggetti alla
normativa sulla privacy e che, conseguentemente, potrebbero portare a ripercussioni
legali per il responsabile della sicurezza se divulgati senza autorizzazione. Vi
appartengono, per esempio, tutti i dati sul personale e sui clienti.
Pubbliche: In questa categoria rientrano tutti i dati che non sono contemplati
esplicitamente in una delle tre categorie precedenti. In generale, sono informazioni la
cui divulgazione non avrebbe serie conseguenze.
CAPITOLO 3
involontari, senza dimenticare le catastrofi, quali incendi, terremoti e inondazioni, che in molte
zone dItalia si presentano con una frequenza tuttaltro che trascurabile.
Vulnerability assessment
Come osservato in precedenza, le minacce possono essere di tipo imprevedibile, spesso riferite
in letteratura anche come minacce naturali. Rientrano in questa categoria catastrofi quali
inondazioni e terremoti, ma anche, quindi con unaccezione pi ampia, incendi, attentati e cos
via. La probabilit che queste minacce si verifichino non regolabile con un sistema di
sicurezza IT e dipende da condizioni essenzialmente esterne allazienda. Vanno evidentemente
considerate e possono essere misurate (la probabilit di uneruzione alle pendici dellEtna
ovviamente maggiore che sulla riva del Po, viceversa per uninondazione). In questi casi le
tecniche adottabili per la protezione delle informazioni sono quelle tipiche del disaster
recovery.
La tipologia di minacce che invece sono generalmente indicate come di origine umana, ma che
sono riferibili in senso pi ampio come prevedibili, in quanto vi rientrano anche guasti del
software o dellhardware, possono essere suddivise in volontarie (o dolose) e
involontarie (o non dolose).
CAPITOLO 3
quanto concerne lazienda, ma anche su quello legale, che li potrebbe coinvolgere direttamente.
Tra le minacce involontarie rientrano anche i guasti dellhardware o i difetti del software, la cui
probabilit di accadimento pu essere calcolata, in funzione delle caratteristiche di partenza
delle risorse (un server fault tollerance fornisce garanzie di affidabilit e disponibilit, come
pure uno storage con supporto RAID e via dicendo) e misurata, con un controllo periodico del
loro stato.
Le minacce volontarie o dolose sono certamente da considerare le pi pericolose. Esse sono di
natura umana e derivano da un attacco mirato che pu provenire tanto dallesterno quanto
dallinterno dellazienda. Tra i due casi, lultimo presumibilmente il peggiore anche perch
pi difficile da rilevare e prevedere. Questo tipo di minacce deriva da attacchi che sfruttano
tipicamente le vulnerabilit del sistema di sicurezza o in maniera opportunistica (un hacker che
casualmente durante scansioni a pioggia trova un buco in un sistema e vi entra) o mediante
unaccurata pianificazione. Tra i metodi di attacco si ricordano: il social engineering (cio una
vera e propria attivit spionistica, tesa a ottenere informazioni dirette dagli utenti, usando una
falsa identit); virus, worm e cavalli di Troia; Denial of Service (che mette, per esempio, un
server in condizioni di dover negare il servizio); rinvio dei pacchetti; modifica dei pacchetti; IP
spoofing (tramite il quale lhacker sostituisce lindirizzo IP della propria macchina con un
altro, tipicamente della rete che sta attaccando); password guessing (il tentativo di indovinare o
calcolare una password).
Considerandole varie minacce (che peraltro possono essere anche di tipo misto), possibile
determinare quali vulnerabilit possono essere sfruttate. Le vulnerabilit sono, in generale,
dovute a errori o trascuratezze di gestione: una configurazione superficiale, un bug del
software, una versione non aggiornata dellantivirus e cos via. Si consideri, per esempio, il
sistema operativo della macchina su cui installato il firewall. Da esso dipende questultimo,
che pu essere disabilitato facilmente se sul sistema operativo stesso non stata disattivata la
corrispondente funzione. Per quanto riguarda le modalit di gestione importante tenere
presente che, praticamente, tutti gli attacchi sfruttano delle vulnerabilit note che possono
essere riparate, spesso, con largo anticipo rispetto al momento in cui pu verificarsi un attacco.
Il vulnerability assessment consiste in una serie di tecniche e tecnologie per il controllo dello
stato di salute di tutte le risorse, comprese soprattutto tutte le soluzioni di sicurezza. Queste
possono essere mantenute aggiornate effettuando una scansione periodica delle risorse e
pianificandone levoluzione. Peraltro, sono sempre pi comuni opzioni di aggiornamento
automatico disponibili anche sotto forma di servizio.
38
CAPITOLO 3
39
CAPITOLO 3
LE POLICY DI SICUREZZA
Lanalisi del rischio il processo che apre la strada a quello di una pianificazione pi attiva
delle misure di sicurezza, che ne preveda lorganizzazione attraverso controlli continui e lo
sviluppo dei criteri (o policy) di protezione da adottare. Anche la soluzione di sicurezza
tecnologicamente pi avanzata , infatti, destinata a fallire se non coadiuvata da regole
implementate sulla base della specifica realt e, quindi, tali da soddisfare gli obiettivi aziendali
e i requisiti di applicabilit e idoneit. Stabilire una politica di sicurezza significa prevedere
tutte le possibili violazioni alla sicurezza e il modo per proteggersi da esse, formalizzandole
anche in un documento. Rendere disponibile un riferimento scritto e unificato allinterno di un
impresa un modo per testimoniare il consenso relativo alla sicurezza interno allazienda e per
fornire una guida per la realizzazione delle pratiche corrette, evidenziando, nel contempo, le
specifiche responsabilit per ogni compito di protezione. Le policy di sicurezza riguardano
questioni quali limpostazione del livello di sicurezza relativo ai singoli apparati e alle
soluzioni informatiche, la gestione del rischio di perdite finanziarie associato a intrusioni e le
modalit comportamentali degli impiegati. Esse richiedono un aggiornamento continuo per la
continua evoluzione tecnologica e laffacciarsi di nuove vulnerabilit e devono trarre
esperienza dagli avvenimenti occorsi. Questo perch, di fatto, ogni soluzione di sicurezza un
processo in continua evoluzione costituito da esperienze, competenze e regole che coinvolgono
persone, processi e tecnologie.
Come ogni processo, quindi, una soluzione di sicurezza richiede non solo di essere progettata e
implementata, ma anche di essere gestita e continuamente analizzata per verificare le costante
rispondenza agli obiettivi di business aziendali e alle esigenze del mercato.
Lintroduzione di policy allinterno dellazienda va, quindi, considerata unattivit ciclica, che
parte da una fase di assessment, in base alla quale progettare e costruire le policy. Segue poi
una fase di implementazione e distribuzione, che richiede successivamente unattivit di
gestione e supporto. La fase di gestione deve prevedere un continuo aggiornamento, basato
sulla verifica di ogni nuova attivit o risorsa che possa modificare lassessment iniziale, su cui
sono state realizzate le policy stesse. Per esempio, lintroduzione allinterno del sistema
informativo di una sottorete wireless, deve indurre a rivedere il ciclo di sicurezza legato alle
policy.
40
CAPITOLO 3
Implementare le policy
Se non correttamente organizzato, paradossalmente, un criterio di sicurezza pu determinare
una riduzione del livello di protezione. Non infrequente che policy troppo restrittive finiscano
con lessere ignorate perch ostacolano lattivit lavorativa. Per esempio, lutilizzo di password
troppo lunghe o complesse e, pertanto, difficili da ricordare, pu indurre gli impiegati a
scriverle e lasciarle pi facilmente in balia di possibili malintenzionati.
41
CAPITOLO 3
Per essere efficace un criterio di sicurezza deve essere diffuso e applicato; ci si deve assicurare
che tutti gli impiegati conoscano le relative policy di sicurezza e che ne possano disporre
prontamente e in qualunque momento e va garantita la pronta comunicazione di ogni loro
eventuale cambiamento. Per la diffusione efficace di ogni criterio opportuno mettere a punto
un insieme di regole scritte, che definiscono le responsabilit relativamente a chi progetta le
policy, chi le garantisce, le implementa e la fa rispettare e le relative conseguenze a seguito di
eventuali violazioni. Infine, buona pratica coinvolgere gli utenti influenzati dalle policy di
sicurezza nel loro processo di sviluppo o almeno di revisione.
Le aree interessate
Per ogni area del sistema informativo o dei processi aziendali possibile definire dei criteri
specifici. Nel seguito sono descritte alcune tipologie di criteri di protezione:
Criteri per le password. Vanno configurati in base alle specifiche esigenze aziendali
prevedendo in modo opportuno la loro sostituzione periodica. Per le password
possibile, per esempio, richiedere una lunghezza minima o assegnargli un tempo
minimo e massimo di validit. Lamministratore deve farsi carico della sicurezza legata
alla generazione e assegnazione della password iniziale di ogni utente. Lutente, a sua
volta, deve assumersi la responsabilit di mantenere la riservatezza della password
assegnatagli e di segnalare ogni eventuale modifica del proprio stato di utente.
Criteri per la posta elettronica. Data limportanza delle mail per la normale conduzione
del lavoro, essenziale predisporre a riguardo opportuni criteri. Questi devono essere
rivolti a unadeguata e sicura configurazione dei programmi di posta elettronica, ma
anche a un corretto utilizzo di questa risorsa, per ridurre eventuali rischi di carattere
intenzionale o involontario e per assicurare la corretta gestione delle registrazioni
ufficiali. Alcuni esempi che si possono evidenziare riguardano la manutenzione
periodica delle proprie cartelle di posta e la gestione e archiviazione dei messaggi, che
altrimenti possono crescere fino ad arrivare a bloccare il sistema di posta. O ancora un
uso a scopo privato della posta, che espone lazienda a rischi non necessari.
Criteri per Internet. Dal lato browser possibile configurare varie impostazioni a
garanzia della sicurezza (esecuzione script, cookies, accettazione di aggiornamenti non
certificati e cos via). I server Web prevedono diverse aree da proteggere, che vanno dal
sistema operativo sottostante, al software del server Web, agli script del server.
42
CAPITOLO 3
43
CAPITOLO 3
44
CAPITOLO 3
Per valutare il rischio correttamente, quindi correlando alle dinamiche e logiche di business,
necessario coinvolgere il management aziendale a vari livelli. Questo il principale vantaggio
di tutta loperazione, nonch la vera chiave di volta per il calcolo del ROI. Infatti, costretti a
riflettere sulle ripercussioni di un attacco informatico, i manager svilupperanno quella
sensibilit versoi temi della sicurezza che per anni stata il cruccio degli addetti ai lavori.
Il risk assessment, inoltre, produce un numero, cio il valore del danno che si potrebbe creare
in funzione del grado di vulnerabilit reale determinato dallattuale sistema di sicurezza. Un
dato facilmente comprensibile anche dal consiglio di amministrazione, tanto pi quando
certificato da una societ indipendente.
Una volta stabilito quale deve essere il piano di contenimento del rischio, quindi quali misure
devono essere implementate per ridurre le vulnerabilit e aumentare il grado di protezione,
necessario realizzare un security plan dettagliato. Questo deve considerare levoluzione nel
tempo e conteggiare il TCO (Total Cost of Ownership) di tutte le soluzioni. importante
osservare che in molti casi il prezzo di acquisto di un prodotto solo il primo elemento di
spesa: in ambito sicurezza, non vanno trascurati i costi dei servizi di aggiornamento, senza i
quali le soluzioni diventano presto (praticamente immediatamente) obsolete e inutili.
Un piano della sicurezza ben dettagliato utile per confrontarlo con un modello del rischio.
Mettendo in una sorta di matrice la spesa necessaria per tappare una potenziale falla e il
rischio economico che la falla lasciata aperta potrebbe causare (eventualmente ipotizzando
pi eventi correlati a tale vulnerabilit trascurata), si ottiene uno strumento di immediato
raffronto. Allatto pratico, una soluzione di sicurezza deve raggiungere almeno uno dei
45
CAPITOLO 3
seguenti obiettivi per poter dimostrare di avere un ROI sostenibile: ridurrei costi
correnti,ridurre i costi futuri, ridurre il rischio finanziario, aumentare la produttivit, aumentare
il fatturato.
Molto spesso ci sono benefici intangibili che difficile calcolare, ma bene non esagerare nel
cercare di aumentare il valore del sistema di sicurezza al solo fine di convincere il management
a investire. Anche perch importanti argomenti sono stati forniti dal Testo Unico sulla privacy,
che, unitamente alle precedenti disposizioni legislative, sta imponendo ladozione di misure
minime, spingendo molte aziende a effettuare analisi di vulnerability assessment con ottimi
risultati di sensibilizzazione.
46
Capitolo 4
LA CRITTOGRAFIA
La crittografia la scienza che si occupa di studiare e mettere a punto una serie di strumenti
che hanno lo scopo di mantenere la segretezza di dati che non si intende diffondere
pubblicamente, impedendo la loro divulgazione al di fuori di una schiera ristretta di persone.
La crittografia rappresenta uno strumento efficace per proteggere i messaggi scambiati durante
una comunicazione, sia per evitare possibili intercettazioni da parte di un intruso(minacce
passive) sia per proteggere i dati da possibili modifiche (minacce attive). Da un punto di vista
del business le funzioni di sicurezza garantite dalla crittografia riguardano i seguenti temi:
Autenticazione, che assicura che il mittente e il destinatario di un messaggio siano
quelli che affermano di essere;
Confidenzialit, che fa in modo che le informazioni siano accessibili solo da chi
preposto a farlo;
Integrit, garantendo la non alterazione delle informazioni da parte di persone non
autorizzate;
Non ripudiabilit, impedendo a utenti di negare la paternit delle informazioni
trasmesse;
Identit, verificando lassociazione tra uno specifico individuo e una risorsa o
uninformazione;
Autorizzazione, che definisce i privilegi e le azioni permesse rispetto a una specifica
risorsa.
Loperazione che permette di celare le informazioni viene detta cifratura o crittazione e la sua
operazione inversa decifrazione, mentre si distingue tra testo in chiaro (plain text) e cifrato
(ciphertext) per descrivere la condizione dei dati durante le due fasi crittografiche.
Le tecniche di crittografia delle informazioni utilizzano sofisticati algoritmi di tipo matematico
per rendere incomprensibili i dati a un utente non autorizzato e fornire nel contempo, a chi
autorizzato a farlo, la possibilit di ricostruire le informazioni in un formato comprensibile
riconvertendo il testo cifrato in testo in chiaro. Lo strumento alla base del processo di
cifratura/decifrazione delle informazioni detto chiave.
La crittografia
CAPITOLO 4
In questo lavoro di tesi eviter di parlare dei vari protocolli crittografici andando direttamente
a trattare la parte che si ritrover poi nel progetto affrontato.
La PKI (Public Key Infrastructure) non va intesa come uninfrastruttura fisica, ma piuttosto
come un insieme di funzionalit rese possibili da una serie di servizi concorrenti. Si appoggia
alla tecnica di crittografia asimmetrica per garantire la sicurezza e la privacy di operazioni di
business ed e-commerce.
Una PKI fornisce i servizi per pubblicare le chiavi, gestirle e utilizzarle, mettendo a
disposizione degli sviluppatori una serie di funzioni che possono essere implementate per
costruire applicazioni sicure.
Uno degli elementi principali che contribuiscono alla realizzazione di una PKI rappresentato
dagli enti certificatori.
La crittografia
CAPITOLO 4
Il certificato viene firmato in modo digitale dallentit che lo ha emesso. Questa firma ha il
significato di garantire lautenticit e la correttezza dellattribuzione della chiave pubblica di
quello specifico utente. Tipicamente nelle applicazioni di e-commerce un potenziale cliente
deve prima ottenere un certificato da una CA a garanzia della propria identit in rete.
Lattendibilit di un certificato dipende dallaffidabilit della CA che lo ha emesso.
Una CA pu essere pubblica o privata. Nel primo caso si ha a che fare con unorganizzazione
che opera come CA di s stessa, rilasciando il proprio certificato. Una CA pubblica,
invece,offre il servizio sia agli utenti finali (certificati legati a browser o e mail), sia alle societ
che decidono di affidare in outsourcing la loro attivit di PKI.
Esiste una gerarchia tra le CA in base alla quale ogni CA si fa certificare da una CA di livello
superiore, fino ad arrivare alla CA al top, detta Root Certificate Authority, la quale, nella sua
certificazione, dichiara semplicemente di essere la root.
Ogni CA ha la facolt di decidere quali attributi includere nei propri certificati e i meccanismi
da utilizzare per verificare questi attributi. Lemettitore dei certificati provvede anche a
mantenere e firmare le Certification Revocation List (CRL) che contengono i certificati che
vengono revocati. Un certificato viene revocato nel caso in cui la chiave privata del
proprietario del certificato sia stata compromessa o nel caso in cui questo non sia pi associato
con chi emette il certificato.
49
La crittografia
CAPITOLO 4
Tra gli standard associati alla crittografia a chiave pubblica che determinano un certo grado di
interoperabilit tra le soluzioni, lo standard di riferimento rappresentato dallITU T X.509,
che definisce le specifiche per il formato dei certificati digitali.
LX.509 fornisce un riferimento standard per la definizione del formato e del contenuto di un
certificato abilitando, in tal modo, il possibile scambio di certificati tra vendor. La struttura di
un certificato X.509 definisce caratteristiche quali versione, numero di serie, algoritmo di
firma, entit emettitrice e validit e provvede anche a definire la struttura delle liste di revoca
CRL.
I token di sicurezza
Un token di sicurezza un piccolo dispositivo di sicurezza trasportabile (di fatto un generatore
di password) che permette lautenticazione di un utente ai servizi di rete.
Si basa su unautenticazione a due fattori, in cui lutente dispone di un codice di identificazione
(PIN) che lo abilita allutilizzo di quel particolare dispositivo. Il dispositivo genera, a sua volta,
un codice che identifica in modo univoco quellutente come possessore di quel dispositivo
particolare e lo abilita al servizio richiesto.
Esempio di Token
hardware di sicurezza
In senso pi esteso i token possono essere anche una soluzione software di autenticazione
basata sulla generazione casuale di password utilizzabili una volta sola. Come soluzione di
autenticazione alternativa rispetto allutilizzo dei certificati di una PKI, non ha per incontrato
vasta diffusione, poich lautenticazione con questo tipo di software manifesta, infatti, alcuni
limiti in termini di maneggevolezza e supporto delle applicazioni.
Un particolare token di sicurezza di tipo hardware la smart card, un dispositivo della
dimensione di una carta di credito con diverse capacit, basato su una tecnologia pi evoluta
rispetto alle tradizionali carte a banda magnetica.
50
La crittografia
CAPITOLO 4
In particolare le carte a circuito integrato, indicate con lacronimo ICC (Integrated Circuit
Card), sono quelle che hanno maggiore importanza allinterno delle tematiche della sicurezza
poich sono in grado di eseguire operazioni quali la firma e lo scambio di chiavi. Queste smart
card sono dispositivi hardware che supportano CPU, memoria RAM, sistema operativo ed
EPROM.
51
La crittografia
CAPITOLO 4
e adeguato. Inoltre questo sistema si affida alla necessaria protezione fisica di altre risorse
quali, per esempio, la manutenzione delle chiavi private master.
Partendo dal presupposto che il livello di protezione di una qualsiasi soluzione corrisponde alla
sicurezza del punto pi debole dellintero sistema possibile raggiungere un livello di
sicurezza superiore con lintegrazione di un sistema di tipo attivo. Un sistema di protezione
attivo gestisce laccesso alle risorse in funzione dello storico dei tentativi di accesso precedenti,
sulla base di una serie di regole di comportamento impostate dallutente.
Lesempio pi classico in tal senso quello del blocco della possibilit di accesso dopo un
certo numero di tentativi erronei di immissione di dati o password, oppure il blocco sul router
dei pacchetti provenienti da ununica fonte, quando questi superano un numero prefissato. A
sua volta lutilizzo di un sistema di analisi del comportamento non inibisce luso non
autorizzato delle risorse, come fa, invece, la crittografia e pu, invece, impedire accessi
legittimi, dovendo prevedere opportuni meccanismi di sblocco. Anche in questo caso il livello
di protezione offerto varia con il tempo, essendo tuttavia pi legato allevoluzione delle
modalit di attacco piuttosto che delle prestazioni dei sistemi informatici.
52
Capitolo 5
CAPITOLO 5
CAPITOLO 5
Eseguire unanalisi degli aspetti di sicurezza e praticit , invece,il risultato di una valutazione
strategica difficilmente ingabbiabile in regole. Tuttavia possibile almeno separare gli aspetti
legati al valore di una soluzione di autenticazione rispetto agli utenti e allazienda.
La praticit e la semplicit duso, per esempio, dipendono, in generale, dalla tipologia di utenti
che si stanno considerando e cambiano a secondo che si tratti di partner, dipendenti o clienti.
Accanto alla complessit di apprendimento va considerata anche la praticit di utilizzo,che pu
inibire il suo impiego.
Anche gli aspetti legati alla trasportabilit della soluzione di autenticazione (indice importante
della sua flessibilit) possono essere sensibilmente differenti in funzione della tipologia di
utente e sono spesso legati a doppio filo con i costi. Per esempio, ladozione di soluzioni che
richiedono la presenza di un software sul lato client possono limitare laccessibilit da aree
esterne quali le filiali aziendali, un hotel o un chiosco pubblico. Un altro esempio pu essere
quello di soluzioni di autenticazione che sfruttano dispositivi mobili e che possono essere
condizionate dallarea di copertura del servizio. Un ulteriore valore per lutente pu essere la
versatilit. A volte il sistema di autenticazione pu essere costituito da un dispositivo specifico,
ma in altri casi pu combinare in un unico dispositivo una pluralit di funzioni: sistema di
autenticazione, documento di identit dotato di foto, strumento di memorizzazione di dati e
cos via.
Dal punto di vista della valenza strategica per lazienda lelemento primario da considerare la
sicurezza relativa, che deve tenere conto del livello di protezione offerto dal sistema di
autenticazione , della sicurezza della sua implementazione, dalladeguatezza a proteggere la
tipologia di informazioni per cui lo si vuole utilizzare e anche della garanzia di compatibilit
con la normativa.
A ci va aggiunta la possibilit di integrazione allinterno dellinfrastruttura esistente e
linteroperabilit coni sistemi di back end.
In una valutazione non va, infine, trascurata la possibilit di lasciarsi aperte opzioni per le
future evoluzioni tecnologiche. Un esempio in tal senso pu essere quello dei certificati
digitali, che rappresentano una soluzione utilizzabile inizialmente come sistema di
autenticazione e che potrebbe essere adottata in futuro per la cifratura e per la firma digitale.
Oppure di un sistema per lautenticazione interna in grado di pubblicare asserzioni di identit
che potrebbero essere utilizzate in seguito al di fuori dellazienda.
55
CAPITOLO 5
lHandshake
Protocol
il
Record
Protocol.
Questultimo
responsabile
La realizzazione della connessione avviene mediante una reciproca autenticazione da parte del
client e del server e tramite la negoziazione dellalgoritmo di cifratura da utilizzare e delle
chiavi di cifratura.
SSL prevede il supporto di un ampio numero di metodi di cifratura:
Crittografia simmetrica, come il DES o il triplo DES (3DES);
crittografia pubblica, come RSA, DSS, KEA, utilizzata per autenticare lidentit del
corrispondente. La chiave pubblica viene usata anche per determinare la chiave
simmetrica che client e server useranno durante la sessione SSL.
56
CAPITOLO 5
Pur essendo un protocollo nato per Internet, in s non ristretto allambiente IP e pu essere
utilizzato anche in abbinamento ad altri protocolli di rete. Quando riceve dai livelli superiori i
dati da trasmettere, li frammenta in blocchi, li comprime (se prevista e concordata la
funzione), applica al risultato un campo MAC (Message Authentication Code), cifra il tutto e
trasmette il risultato. Sui dati ricevuti viene effettuato il procedimento inverso. I dati sono
decifrati, verificati, eventualmente decompressi, riassemblati e passati al livello superiore.
Oltre ai due protocolli principali citati comprende altri elementi quali lSSL Change Cipher
Spec Protocol e SSL Alert Protocol. Il protocollo di Handshake e questi ultimi due hanno il
compito di realizzare e gestire il setup della sessione e dei parametri di sicurezza. Le
connessioni realizzate tra client e server sono associate a ununica sessione, ma ogni sessione
pu includere connessioni diverse.
Lo stato di una connessione definisce i parametri MAC, mentre lo stato della sessione definisce
un set di parametri di crittografia. Il protocollo di SSL Handshake, riferito anche come key
exchange protocol, ha la funzione di stabilire una connessione sicura tra le due parti
interessate alla sessione.
Le fasi realizzate dal protocollo sono riassumibili in:
autenticazione di server e Client ( opzionale);
negoziazione dellalgoritmo di cifratura da utilizzare;
utilizzo di una chiave pubblica per lo scambio dei parametri di cifratura.
57
CAPITOLO 5
Con riferimento alla figura, vediamo brevemente la funzione dei principali messaggi utilizzati
dal protocollo:
Client_hello: inviato dal client per iniziare la sessione. Include al suo interno
informazioni sul numero della versione SSL, un identificatore della sessione,
informazioni sugli algoritmi di cifratura disponibili, un elenco degli algoritmi di
compressione supportati.
Server_hello: il messaggio di risposta del server. Include i parametri visti per il client.
Il server verifica che lidentificatore della sessione proposto dal client sia disponibile e,
in caso contrario, ne propone uno alternativo tramite unulteriore fase di handshake. Il
server sceglie poi un algoritmo per lo scambio delle chiavi di cifratura e le relative
modalit nonch il metodo di compressione tra quelli proposti dal client.
Server_certificate: inviato dal server per autenticarsi nei confronti del client.
Certificate_request: inviato dal server quando vuole richiedere lautenticazione da
parte del client.
Server_hello_done: viene inviato dal server per indicare che il server ha terminato
quanto di sua competenza e cio linvio dei dati per la crittografia dei dati e i parametri
di identificazione
Client_certificate: inviato dal client se il server ha richiesto al client la sua
certificazione.
Finished: un messaggio inviato per indicare che la fase di set up si conclusa
positivamente.
A questo punto il protocollo di SSL Handshake completa i suoi compiti e sul canale privato e
sicuro che si stabilito possono essere trasferiti i dati delle applicazioni.
RADIUS
RADIUS (Remote Authentication Dial-In User Service) un protocollo definito dallIETF per
amministrare e rendere sicuro laccesso remoto a una rete.
Il server software RADIUS include tre componenti:
Un server di autenticazione,
Protocolli per il client,
Un server di accounting.
Queste componenti possono girare su ununica macchina oppure su dispositivi separati dotati
di differenti sistemi operativi.
58
CAPITOLO 5
59
CAPITOLO 5
Utilizzo di RADIUS
RADIUS un protocollo ampiamente utilizzato negli ambienti distribuiti. comunemente
usato per dispositivi di rete integrati come router, server modem, switch ecc., per svariate
ragioni:
I sistemi integrati generalmente non riescono a gestire un gran numero di utenti con
informazioni di autenticazione distinte, poich questo richiederebbe molta pi memoria di
massa di quanta ne possiedano la maggior parte di essi.
RADIUS facilita lamministrazione utente centralizzata, che importante per diverse
applicazioni. Molti ISP hanno decine di migliaia, centinaia di migliaia o anche milioni di
utenti, aggiunti e cancellati di continuo durante una giornata, e le informazioni di
autenticazione cambiano costantemente. Lamministrazione centralizzata degli utenti un
requisito operativo.
RADIUS fornisce alcuni livelli di protezione contro attacchi attivi e di sniffing. Altri protocolli
di autenticazione remota offrono una protezione intermittente, inadeguata o addirittura
inesistente.
Un supporto RADIUS quasi onnipresente. Altri protocolli di autenticazione remota non
hanno un consistente supporto da parte dei fornitori di hardware, quando invece RADIUS
uniformemente supportato. Poich le piattaforme sulle quali implementato RADIUS sono
spesso sistemi integrati, vi sono limitate possibilit di supportare protocolli addizionali.
Qualsiasi cambiamento al protocollo RADIUS dovrebbe quantomeno avere una compatibilit
minima con client e server RADIUS preesistenti (e non modificati).
Nonostante ci, stato messo a punto un nuovo protocollo, Diameter, candidato a rimpiazzare
RADIUS: utilizza infatti TCP anzich UDP ed di conseguenza considerato pi sicuro ed
affidabile.
60
Capitolo 6
CAPITOLO 6
In questo, il firewall svolge una funzione di barriera protettiva allingresso, fornendo un primo
livello di protezione, ma le attuali soluzioni presenti in commercio,in realt, offrono molte
funzionalit aggiuntive.Di fatto, il firewall diventato uno strumento molto potente che
arriva a fornire pi livelli di protezione. Nei successivi paragrafi, sono esaminati i principali
tipi di firewall e le loro caratteristiche, ed analizzate alcune tra le funzionalit distintive, in
genere opzionali, che risultano pi diffuse e utili in un contesto di sicurezza.
Di fatto, data questa definizione, le funzioni base di un firewall sono due: una serve a bloccare
il traffico, laltra a lasciarlo passare. Esistono diverse modalit con cui questo pu essere
ottenuto ma quello che emerge che un firewall rappresenta un unico punto in cui possibile
imporre dei controlli di sicurezza e un auditing di rete.
Il network manager pu ottenere dati sul tipo di traffico e sulla quantit dello stesso che ha
attraverso tale punto, quindi che entrato e uscito dalla rete. Pu essere informato di quanti
tentativi di ingresso non autorizzato sono stati effettuati e cos via. A questo proposito, le
capacit di reportistica di un firewall costituiscono una caratteristica fondamentale, che
opportuno considerare in tutti gli aspetti correlati.
Nel caso questo sistema rappresenti lunica barriera protettiva, ovvio che le statistiche e i
dati, quali quelli menzionati, devono essere i pi dettagliati e accurati possibile, perch
62
CAPITOLO 6
rappresentano forse lunico strumento di supporto alle decisioni del security/network manager
in materia di policy da implementare.
Una corretta valutazione dei rischi, in questi casi, pu realizzarsi solo con uno strumento che
fornisca le informazioni opportune. Daltro canto, importante che tali informazioni siano
anche intelligibili. Per questo necessario che siano organizzate o organizzabili secondo viste
idonee a comprendere la situazione e a prendere le decisioni che meglio sposino le policy di
sicurezza con i rischi e le esigenze di business dellimpresa.
Nel caso, invece, di firewall parte di un sistema di sicurezza completo e integrato o, in ogni
modo, nel caso in cui sia prevista uninterazione del firewall con altre applicazioni di security,
allora risulta fondamentale valutare non solo leffettiva interoperabilit degli strumenti, ma
anche linterfacciamento delle applicazioni stesse. In altre parole, assume unimportanza
basilare lesistenza di connettori trai diversi sistemi.
Si consideri, per esempio, un sistema di intrusion detection che abbia rilevato unattivit
scorretta sulla rete. In un sistema completo ed efficiente, tale IDS dovr o direttamente
bloccare lattivit in questione o interagire con il firewall affinch sia lui a inibire il traffico
relativo. In ogni caso, lIDS dovr comunicare con il firewall per eventualmente modificare in
automatico determinate policy di sicurezza. Allo stesso modo dovrebbe essere il firewall a
segnalare anomalie allaltra applicazione. Pu essere lintrusion detection system, ma un
discorso analogo si pu fare per un antivirus. Si consideri, ad esempio in un contesto di
minacce effettuate tramite Internet, che i cosiddetti attacchi assumono sempre pi una
connotazione mista.
Storicamente, le funzioni di base di un firewall sono riassumibili in: filtraggio del traffico
entrante e uscente e traduzione/occultamento degli indirizzi Internet o NAT (Network Address
Translation).
CAPITOLO 6
avuto. Con la NAT, infatti, si ridotto il numero di indirizzi IP pubblici necessari per il Web.
Un Internet service provider, per esempio, pu ospitare pi Web server, ma allesterno quello
che risulter lindirizzo IP del proprio firewall. Naturalmente si tratta di una semplificazione,
ma in ogni caso, ben presto, sar necessario passare allIPv6, perch il numero di indirizzi IP
pubblici statici da registrare destinato ad aumentare vertiginosamente con la diffusione di
terminali wireless che potrebbero essere indirizzati con questo meccanismo.
La funzione NAT descritta da uno standard IETF (Internet Engineering Task Force) che lha
introdotta appunto per consentire a unorganizzazione di presentarsi su Internet con un numero
di indirizzi IP inferiore a quello dei nodi interni alla propria rete.
Le tecnologie NAT sono tipicamente implementate su un router, il dispositivo che si occupa di
analizzare lindirizzamento per instradare verso la corretta destinazione i pacchetti. quindi il
router che provvede a modificare lheader dei pacchetti in modo da convertire lindirizzo
privato dei nodi della rete aziendale in uno o pi indirizzi pubblici. Grazie alla funzione NAT,
il router mantiene anche traccia dei nuovi indirizzi per ogni sessione attiva. In questo modo,
quando un utente della rete aziendale invia una richiesta a un Web server su Internet, il router
pu riconvertire i pacchetti della risposta instradandoli verso il client di origine.
Le implementazioni NAT spesso prevedono anche la funzione di Port Address Translation
(PAT), che consente di alterare i numeri di porta nellheader, aggiungendo un ulteriore livello
di differenziazione tra la rete reale e la sua immagine esterna.
Uno degli svantaggi della NAT semplice che annullala trasparenza di Internet, per
mantenere la quale i pacchetti dovrebbero rimanere intatti da entit sorgente a entit di
destinazione. Se da un lato, infatti, si protegge la privacy della rete, dallaltro si garantisce un
livello di anonimato, che, talvolta, un vantaggio per i malintenzionati. Si innesca, qui, un
circolo vizioso, tale per cui per aumentare la sicurezza necessario pi controllo, ma per
questo si deve necessariamente ledere maggiormente la privacy, il che, per certi versi,
contrario alla concezione della sicurezza.
Uno dei meccanismi di realizzazione della NAT, che supera questa limitazione e che sta
registrando una adesione crescente, il sistema RSIP (Realm Specific IP). Questo, invece di
inserire i nuovi indirizzi IP nellheader dei pacchetti a livello di router o firewall, opera a
livello client. Quando un utente (un client RSIP) vuole contattare un host su Internet, prima
inoltra a un server RSIP la richiesta di un numero di porta e di un indirizzo IP pubblico. Il
client, successivamente, invia i pacchetti al server RSIP (normalmente con tecnologie di
tunneling), che li inoltra verso Internet eliminando lheader di tunneling. Sui pacchetti di
64
CAPITOLO 6
ritorno, il server controlla il numero di porta del client, aggiunge nuovamente il tunnel header e
inoltra il tutto al client RSIP.
65
CAPITOLO 6
LE TIPOLOGIE DI FIREWALL
Esistono tre tipologie di firewall che sono riconosciute dallICSA (International Computer
Security Association): packet filtering, proxy server e stateful packet inspection firewall.
CAPITOLO 6
CAPITOLO 6
CAPITOLO 6
69
CAPITOLO 6
Per realizzare una DMZ, un firewall deve essere dotato di almeno tre porte: una verso Internet,
una verso la LAN e una verso la DMZ. La DMZ deve essere idealmente mantenuta
completamente separata dalla rete locale aziendale.
Nella realt, per, spesso necessario prevedere che uno o pi server della DMZ possano
accedere ad alcune risorse sulla LAN: per esempio, un database per aggiornare le informazioni
da mantenere online. Questo tipo di comunicazione, peraltro, generalmente molto ben
definita e, quindi, altrettanto ben controllabile dal firewall, attraverso il quale, in ogni caso,
passano tutti gli eventuali collegamenti tra LAN e DMZ. questo il tipico caso in cui pu
essere opportuno installare un application proxy firewall o implementare una funzione di
questo tipo per controllare il traffico tra LAN e DMZ.
Pu anche rivelarsi opportuno installare due firewall: uno pi esterno, che dirotta il traffico
verso la DMZ lasciando passare solo alcuni flussi selezionati o nulla verso la LAN, e uno
interno, che si pone a guardia della LAN, filtrando il traffico proveniente dal primo firewall e
governando la comunicazione tra DMZ e LAN.
Spesso viene consigliato di adottare due firewall di due vendor diversi. In questo modo si
riduce il rischio di intrusione, perch improbabile che le due barriere presentino gli stessi
eventuali buchi. Naturalmente, cos si introduce un sovraccarico gestionale.
CAPITOLO 6
dei dati. Un interesse crescente stanno avendo le VPN realizzate su Internet, perch consentono
di ottenere un servizio simile a quello di una rete privata con linee affittate ma a un costo
nettamente inferiore.
Per realizzare una VPN si adottano tecniche di tunneling, in base alle quali i dati vengono
diretti verso le destinazioni finali allinterno di percorsi protetti con tecniche di encryption.
Alle due estremit del collegamento vengono posti due gateway, che riconoscono le varie
sessioni e inoltrano i pacchetti alla corretta destinazione dopo averli decifrati.
Tale funzionalit tipicamente svolta da un router e pu essere svolta anche da un firewall.
Molti dispositivi in commercio vengono, infatti, dotati di capacit crittografiche e di tunneling.
Content filtering
Nel momento in cui loperativit di un firewall consiste nel controllo e filtraggio dei pacchetti,
viene in un qualche modo naturale ritenere che qualsiasi azione si debba compiere, in
connessione con le informazioni implicite nei pacchetti, possa essere realizzata da un firewall.
Questo approccio ha portato alla realizzazione di dispositivi ibridi, sui quali, oltre alle
funzionalit di base del firewalling, sono installate anche applicazioni direttamente o
indirettamente connesse con la sicurezza. Alcuni esempi concreti riguardano il caching e il load
balancing.
Esistono, poi, una serie di funzionalit atte a migliorare la gestione del traffico, che si abbinano
bene a un firewall ma che preferibile mantenere separate, come il traffic shaping o lo stesso
caching, per ragioni soprattutto gestionali. Vi sono, poi, altre applicazioni che appaiono pi
71
CAPITOLO 6
direttamente connesse al lavoro che deve svolgere un controllore di accessi. Una di queste
il content filtering.
Il content filtering nato con lo sviluppo di Internet e con la diffusione di comportamenti
scorretti in azienda, tali per cui gli impiegati hanno cominciato a utilizzare la rete delle reti a
scopi privati e non produttivi. Chat, siti sportivi o comunque votati allintrattenimento
difficilmente si giustificano con un interesse professionale.
Grazie a dei filtri, chiamati Web site filter o content filter, un responsabile dei sistemi
informativi pu impedire che determinati siti o contenuti siano accessibili dalla propria rete.
Tali funzionalit possono essere integrate in un firewall, che di per s gi preposto al
controllo del traffico uscente dalla rete. Il content filtering ,dunque,una tecnica che si applica
al traffico outbound e pu prevedere una lista di siti predefinita, tale per cui il firewall controlla
che la richiesta di accesso al Web non sia diretta verso uno di questi siti. Nel caso lo
fosse,allora la richiesta verrebbe negata, altrimenti eseguita. Si pu scegliere se bloccare
totalmente laccesso a tali siti o permetterlo ma registrarlo.
Soprattutto in questultimo caso, per, necessario chiarire ufficialmente la posizione
dellazienda ai dipendenti, che vanno informati delle policy implementate, ai sensi della legge
sulla privacy. La lista dei siti deve essere aggiornata con una certa frequenza e regolarit. Per
questo possibile adottare strumenti automatici che controllano migliaia e migliaia di siti per
verificarne il contenuto. Pi semplicemente esistono servizi a pagamento che realizzano tale
controllo e aggiornano automaticamente la lista definita dallazienda in base a propri criteri.
72
Capitolo 7
CAPITOLO 7
quella IP (che in molti casi usato come sinonimo di Internet) e quella storicamente basata
sulla commutazione TDM (Time Division Multiplexing) e riferita come PSTN (Public
Switched Telephone Network). Questultima la convenzionale rete telefonica, con tutta la sua
gerarchia di centrali e di livelli di rete di multiplazione dei canali telefonici stessi. Va osservato
che il termine Internet viene spesso usato in modo improprio, per riferirsi a una rete dati che
utilizza il protocollo IP per la realizzazione delle funzionalit del livello3 di rete e il TCP, per
quanto concerne le funzioni di trasporto end to end di livello 4 e parte del superiore livello5.
Una tale digressione necessaria perch le due tipologie di rete, quella IP e quella PSTN,
presentano differenze fondamentali che suggeriscono di porre attenzione ad alcuni dei
parametri che le caratterizzano e che rendono necessari specifici apparati, sviluppati in accordo
a standard de jure o de facto. Questi apparati si aggiungono a quelli gi in esercizio, quando si
intraprende la realizzazione di una rete aziendale di tipo convergente, partendo da quelle
dedicate alla voce e ai dati gi presenti in azienda. Ne consegue che indispensabile
individuare e definire un percorso di migrazione aderente a quanto installato e in funzione delle
funzionalit che si desidera inglobare nella rete di nuova generazione. Questo quanto pi si
desidera rendere sicura la rete trasmissiva.
Quello che da tenere presente che lIP rientra tra le tecnologie trasmissive per dati che
fanno parte della famiglia a commutazione di pacchetto. Alla stessa famiglia appartengono
tecnologie note o meno note come X.25, Frame Relay e SNA, che utilizzano al livello 2 un
protocollo di controllo del link basato sul principio della finestra di trasmissione dei pacchetti,
anche se hanno un modo leggermente diverso di gestire tale finestra e un diverso modo di
effettuare linstradamento dei pacchetti dati inoltrati in rete. Questo si basa sul concetto di
circuito virtuale permanente, per i derivati dallo standard ITU X.25, e sul datagramma, per lIP.
In effetti, il concetto del datagramma, in base al quale ogni pacchetto contiene lindirizzo di
destinazione e quindi pu seguire percorsi diversi di rete, e quello di circuito virtuale o VC
(Virtual Circuit), in base al quale i pacchetti viaggiano in sequenza sullo stesso percorso logico,
sono due concetti alternativi e per anni hanno identificato due diverse scuole di pensiero nelle
modalit realizzative di una rete dati.
La rete telefonica PSTN invece una rete basata sul circuito e sulla realizzazione a livello di
rete e di centrali di transito di una connessione diretta tra chiamante e chiamato. Questo
assicura lelevata qualit e affidabilit di una connessione e del sistema stesso nel suo insieme.
Quanto detto vero in generale, anche se la descrizione fatta ragionevolmente semplificata,
poich nella pratica reti dati a datagramma, come quelle IP e reti telefoniche PSTN, si sono
74
CAPITOLO 7
CAPITOLO 7
controllo e abbattimento delle chiamate. In pratica, i dispositivi di gateway formano uno strato
esterno che incapsula la rete aziendale e la maschera dal mondo esterno, facendola percepire
come se fosse una rete del tutto simile e viceversa. I gatekeeper sono invece degli apparati a cui
demandata la funzione di gestione di domini di gateway, costituiti da pi gateway che fanno
riferimento a un piano di indirizzamento predefinito.
Con i dispositivi di gateway il problema per semplice in apparenza e complesso nella realt,
perlomeno in questa fase evolutiva in cui gli standard non appaiono ancora del tutto stabilizzati
e sono emerse in proposito diverse scuole di pensiero. Se, in teoria, una rete convergente
dovrebbe portare a una semplificazione progettuale e realizzativa, il progettista si trova invece
a scontrarsi con una realt che in prima battuta appare essere in controtendenza allauspicata
semplificazione.
In effetti, con le convenzionali reti di fonia e dati oramai da anni che ci si muove in un
contesto di standard pi che consolidati e stabili, ma anche in presenza di apparati di diversi
fornitori la cui interoperabilit garantita da anni di funzionamento nelle stesse reti e
certificata da enti internazionali indipendenti. Ci non ancora del tutto vero per le tecnologie
convergenti, anche se i costruttori stanno accelerando proprio la fase di armonizzazione di
standard e interoperabilit. Per esempio, per ci che riguarda le funzioni di segnalazione si
assistito a un proliferare di standard che vedono nellarena sigle come H.323, SS7 (Signaling
System 7), MGCP (Media gateway Control Protocol) o SIP (Session Initiation Protocol) e che
coinvolge anche modalit di dialogo tra directory quali RAS (Registration/ Administration/
Status protocol), ILS (Internet Location Server) o LDAP (Ligthweight Directory Access
Protocol), quando si deve garantire linteroperabilit tra reti non solo sul piano fisico ma anche
funzionale.
Un ulteriore aspetto da considerare costituito dai servizi che una rete convergente deve
erogare e dalla qualit che deve corrispondere ai singoli servizi e dalla rete nel suo complesso.
La scuola di pensiero che in questo ambito si sta facendo strada che, in ogni caso, la qualit
di una rete di nuova generazione di tipo convergente deve essere perlomeno allo stesso livello
qualitativo di una rete PSTN. Cosa facile da dire ma meno da attuare.
Una soluzione al problema ha richiesto lo sviluppo di apparati e architetture di rete basati su
switch o nodi di rete di nuova generazione, progettati in modo nativo proprio per erogare e
gestire la qualit del servizio e livelli di servizio concordati adottando specifici protocolli.
Tra questi, quelli maggiormente diffusi sono quello riferito come Differentiated Services o
DiffServ, MPLS (Multiprotocol Label Switching) e RSVP (Resource Reservation Protocol).
76
CAPITOLO 7
Va tenuto presente che servizi, come quelli vocali, richiedono poi che sia possibile garantire
una larghezza di banda costante, mentre se si realizza una transazione dati di commercio
elettronico, la costanza della banda disponibile assume un valore secondario, data la limitatezza
del messaggio, e assume un aspetto importante la sicurezza e il relativo criterio di cifratura.
In parallelo alla diffusione del protocollo IP, proposto come infrastruttura di trasporto
multiservizio, e dellaffermazione in azienda dellapproccio VoIP e di rete convergente(e
relative architetture), si assistito alla riformulazione in chiave IP di un concetto esistente da
tempo, quello delle reti private virtuali, sia ritagliate allinterno di una rete di backbone di un
carrier sia fornite da service provider specializzati. Anche in questo caso, lutilizzo di un
concetto noto in un contesto di servizi e di protocolli innovativi porta inevitabilmente a
esaminare i problemi connessi allutilizzo di una VPN come substrato per le comunicazioni
aziendali e agli standard che si sono consolidati per una trasmissione sicura delle informazioni
su un tale substrato.
Lampia accettazione di IP e la sua universale diffusione hanno portato a concentrarsi sugli
aspetti positivi, che sono quelli connessi allesistenza di uno strato di comunicazione
omogeneo su scala mondiale. IP come strumento di base nella realizzazione di VPN
innovativo, ma come protocollo, non come concetto, essendo molte le reti VPN esistenti che
utilizzano protocolli consolidati come il Frame Relay, in grado di trasportare voce
pacchettizzata con una qualit non inferiore allIP, come si evince dalla disponibilit di una tale
funzione nellofferta di un ampio numero di carrier e provider di servizi.
Laffermazione delle IP VPN, in realt, legata al presupposto di realizzazione a basso costo
di una rete privata che sfrutti la gratuit di Internet. Di fatto,rispetto a reti affittate in
condizioni di sostanziale monopolio, si verificata gi unimportante riduzione dei costi, in
Italia, con lapertura del mercato dati nel 1994 e di quello voce nel 1998. Una VPN, in ogni
caso, costa meno di una rete privata e, in prospettiva, la diffusione di infrastrutture IP
multiservizio consentir ai service provider di risparmiare sui costi di realizzazione di una VPN
basata sul protocollo IP. Gi adesso, come vedremo meglio in seguito, possibile sfruttare
Internet per realizzare una connessione sicura attraverso gateway che, utilizzando protocolli
standard, sono supportati da molti provider.
77
CAPITOLO 7
Dove risiede la vera e sostanziale novit nel campo delle applicazioni. Con IP e VPN viene a
svanire la modalit di sviluppo differenziato tra applicazioni LAN e WAN, sostituita da un
approccio che considera come base il mondo Internet in un contesto end to end di accesso
remoto tramite VPN, Web come architettura di base e una comunicazione (email e fax) sempre
pi in formato elettronico e sempre meno cartacea. Considerazione analoga si applica al campo
della sicurezza.
CAPITOLO 7
79
CAPITOLO 7
Se la connessione al provider, invece che una linea dedicata, utilizza un accesso commutato, va
considerato che non tutti i fornitori prevedono un servizio di call out. Ci implica che la sede
potenzialmente chiamata dallesterno deve essere mantenuta online nei periodi in cui sono
attive applicazioni che richiedono una risposta immediata.
Realizzata e attivata la connessione al provider, le sessioni di lavoro, successivamente attivate
dai client e dai server di rete, vengono convogliate su un canale logico riferito in letteratura con
il termine di tunnel, che collega la porta WAN locale alla porta WAN della sede remota. Il
link pu poi essere configurato in base a esigenze di filtraggio degli indirizzi e di cifratura dei
dati adatti alla specifica esigenza aziendale.
Lapplicazione che deve trasmettere dei dati ha la sola necessit di utilizzare lindirizzo IP del
router di destinazione e la chiave di cifratura predeterminata.
Per sistemi dove si richiede unelevata sicurezza si pu poi ricorrere sia a una cifratura
specifica del tunnel geografico sia a una cifratura delle singole sessioni con chiavi differenti.
Configurato il tunnel, il traffico che viene inviato alla sede remota viene prima cifrato e poi
inserito in un pacchetto dati IP e inviato alla rete. Nel caso la sessione utilizzi un trasporto
geografico non IP, il pacchetto IP viene a sua volta inserito nel campo dati del protocollo di
rete geografica adottato dal carrier, per esempio Frame Relay, X.25o ATM.
CAPITOLO 7
Per ci che concerne apparati dedicati esplicitamente a proteggere il mondo LAN, i firewall
sono stati i primi prodotti a permettere la realizzazione di applicazioni su VPN e per certi
aspetti risultano degli apparati ideali per realizzare VPN, anche se la relativa funzione stata
inglobata in buona parte dellofferta di router esistenti.
Uno degli standard affermatisi per la realizzazione dei tunnel L2PT, un protocollo supportato
tra gli altri da Cisco e Microsoft. Instaurato il tunnel tramite il dispositivo prescelto, si
compiuto un primo passo nella realizzazione di una VPN. Quello successivo consiste nel
fornire allutilizzatore remoto un accesso sicuro alla LAN. L2TP viene in questo caso abbinato
a un altro protocollo, denominato IPSec e dedicato specificatamente alla realizzazione di
connessioni sicure tra utente remoto e LAN su reti VPN.
Due ulteriori aspetti sono correlati alla realizzazione di una rete VPN. Il primo la qualit del
servizio erogato dalla rete e il secondo la larghezza di banda disponibile sulla stessa. Il
problema che porta alla QoS deriva direttamente dal fatto che la rete Internet una rete di tipo
best effort, in cui tempi di consegna e capacit di rete non sono per niente garantiti. Situazione
che il contrario di quella che si cerca di ottenere quando si progetta una rete aziendale in cui
si vuole che le applicazioni abbiano dei tempi massimi di risposta garantiti e una disponibilit
di banda adeguata. Con la diffusione di Internet a livello aziendale il problema del QoS si
posto come uno dei principali quando si progetta unapplicazione che debba basarsi su una
VPN.
Un ruolo nello sviluppo di soluzioni che rendono proponibile e utilizzabile Internet come
substrato per la rete aziendale lo hanno sia le societ che sviluppano soluzioni hardware e
software per loffice automation o il networking aziendale che i principali carrier e ISP, tutti
coinvolti nello sviluppo di un protocollo denominato RSVP che permette di riservare una
larghezza di banda garantita su una rete IP. Quando una sessione viene attivata, tramite il
protocollo RSVP ogni nodo attraversato dai dati e coinvolto nella realizzazione di un tunnel su
IP riserva alla specifica connessione lammontare di banda necessario o segnala limpossibilit
di realizzare la connessione.
Larchitettura IPSec
Il protocollo che si sta affermando nella comunit Internet per la realizzazione di funzioni di
sicurezza IPSec, che rappresenta uno standard di fatto per la sicurezza del livello di rete.
IPSec prevede la realizzazione di due diverse modalit di protezione dei dati. La prima
permette di autenticare i dati inviati, la seconda aggiunge a questo anche la cifratura degli
81
CAPITOLO 7
stessi. IPSec costituisce una vera e propria architettura aperta per la realizzazione di reti sicure
ed stato sviluppato da un gruppo di lavoro dellIETF. Il concetto di architettura aperta
dipende dal fatto che nel suo ambito architetturale possono essere inseriti nuovi metodi di
cifratura man mano che vengono sviluppati o che i sistemi utilizzabili per attaccare i dati si
perfezionano. Le aree che sono state affrontare nella definizione del protocollo sono:
Autenticazione dei dati di origine per verificare che gli stessi siano stati inviati
effettivamente dal mittente.
Protezione dal rischio che i dati possano essere intercettati e ritrasmessi in un momento
successivo.
Integrit dei dati per verificare che quanto inserito nei datagrammi non sia stato
alterato.
Gestione automatica delle chiavi di cifratura in modo da poter stabilire una politica di
rete che non richieda continui interventi manuali.
In questo ambito, i principali protocolli della suite IPSec sono tre. Il primo denominato IP
Authentication Header (AH) e si preoccupa di autenticare i dati di origine, la loro integrit e la
protezione da ripetizioni abusive. Il secondo denominato IP Encapsulating Security Payload
(ESP) e si occupa della confidenzialit dei dati, dellautenticazione del mittente e dellintegrit
dei dati. Il terzo riferito come Internet Security Association and Key Management Protocol
(ISAKMP) e fornisce un metodo per realizzare automaticamente associazioni sicure e gestire le
relative chiavi di cifratura.
I protocolli per la sicurezza del livello di rete, quindi nello specifico lIPSec, hanno
nellinsieme la funzione di assicurare ai protocolli dei livelli superiori la protezione delle
informazioni trasportate nel campo dati, riferito come payload, di un datagramma IP.
IPSec e L2TP sono due protocolli fatti per lavorare assieme. Un tunnel L2TP viene realizzato
incapsulando una trama L2TP allinterno di un pacchetto UDP, a sua volta incapsulato
allinterno di un pacchetto IP.
UDP il protocollo del livello di trasporto, mentre IP il protocollo di rete ed nel pacchetto
IP che sono compresi gli indirizzi della sorgente e della destinazione del pacchetto che
definiscono i punti terminali di un tunnel.
Essendo IP il protocollo che incapsula tutti gli altri, le funzioni previste da IPSec per il livello
di rete finiscono con lessere applicate a questo pacchetto composito e quindi proteggono i dati
che fluiscono allinterno deltunnelL2TP.
82
CAPITOLO 7
I protocolli per il tunneling di livello 2 rappresentano un modo per realizzare accessi remoti
cost-effective con il trasporto multiprotocollo e laccesso remoto a LAN. Poich per non
forniscono funzioni di sicurezza, diventa praticamente obbligato utilizzarli in abbinamento a
IPSec, qualora si voglia fornire un accesso remoto sicuro.
Realizzare una VPN permette, quindi, di ottenere benefici economici notevoli, ma richiede un
approccio progettuale ben preciso che deve necessariamente partire con il rendere sicuro
laccesso aziendale, individuare le tecnologie da utilizzare o il service provider a cui rivolgersi,
passare attraverso una fase di definizione del Service Level Agreement e concludersi
(prudenzialmente) con un adeguato impianto pilota.
83
CAPITOLO 7
84
Capitolo 8
Situazione iniziale
La metodologia di lavoro degli affiliati prima che cominciassero i lavori era la seguente:
collegamento in VPN alla sede centrale tramite software client con VPN-IPSec e apertura di
una sessione
CAPITOLO 8
PRO 2040
86
CAPITOLO 8
Proposta soluzione
Dopo unattenta analisi delle esigenze e delle problematiche sopra citate, s deciso di proporre
una soluzione scalabile in grado di poter procedere per passaggi, fino al conseguimento
dellinfrastruttura ottimale.
Nello studiare e proporre uninfrastruttura definitiva ottimale per una realt come quella citata,
si deciso di scomporla in 6 livelli:
1. Network;
2. Connettivit;
3. Livello daccesso;
4. Servizi;
5. High Availability;
6. Sicurezza.
1 -Network
A livello di network bisogna assicurarsi che a Layer 2 (Standard ISO/OSI) tutte le transazioni
interne od esterne possano contare su velocit ed affidabilit di consegna delle informazioni
richieste.
A tal proposito si sono approfonditi gli aspetti:
Separazione fisica e logica del traffico dati tra Internet, Dmz e traffico VoIP
Per quanto riguarda il bilanciamento di carico e Fault Tollerance sui server, si analizzata la
possibilit di attivazione sui singoli server, se muniti di due schede di rete.
2 -Connettivit
La garanzia dellottenimento di un servizio di connettivit affidabile ed ottimale si ottiene
tramite lutilizzo di apparati Link Balancer, in grado di bilanciare differenti linee internet: il
bilanciamento ottenuto dallinserimento di tale apparato in una struttura si riflette con il
miglioramento dellutilizzo della banda internet, assicurando di conseguenza una qualit di
connessione maggiore, oltre che ad un grado maggiore di affidabile.
Linserimento di apparati Packet Shaper forniscono invece la possibilit di garantire bande
minime/massime ai vari protocolli oltre che di eseguire un controllo per pacchetto di
87
CAPITOLO 8
qualsiasi connessione transiti per essi. Questo tornerebbe utile nel caso dellinserimento nella
struttura di tecnologie VoIP, protocollo che soffre di problemi di questo tipo.
3- Livello dAccesso
Dopo aver approfondito le varie tecniche di miglioria dei canali comunicativi tra Sede e
Clienti, si approfondito il livello daccesso.
Fino a questo momento tutti i client esterni che vogliono accedere ai servizi centralizzati,
utilizzano connessioni Vpn Client-to-Site basate su tecnologia IPSec. Tale connessione obbliga
lutilizzo di un software specifico
funzionare.
La migrazione da tale tecnologia ad una tecnologia VPN basata su criteri di sicurezza SSL e
quindi utilizzzare come protocollo portante lHTTP, veloce per sua natura, permette di rendere
la connessione maggiormente affidabile, poich non implica lutilizzo di software proprietari,
inoltre non implica utilizzi massivi di calcoli di processore per decriptare pacchetti, quindi
risulta pi veloce. Tale tecnica permette anche lutilizzo di meccanismi di autenticazione
esterni quali Token, Token con tecnologia OTP (One Time Password) o Smart Card.
4- Servizi
A livello di Servizio, lutilizzo di tecnologie Terminal, quali Terminal Server o Citrix
Metaframe permettono una resa maggiore degli applicativi in ambito Intranet, perch tali
tecnologie si avvalgono di protocolli daccelerazione di banda tra il client ed il server.
Per ottenere una maggior velocit in fase di utilizzo delle risorse centrali ci si pu avvalere di
apparati basati su tecnologie Quality of Service che garantiscono una banda minima per ogni
transazione che avviene tra client e server.
5 -High Availability
Dopo aver consolidato lintera struttura ci si pu concentrare sulla riduzione dei fermi
macchina o fermi servizi tramite lapplicazione dei concetti dellHigh Availability, ossia
prevedere sistemi/ meccanismi/ apparati in grado di poter garantire ridondanza della struttura e
dei servizi in caso di Fail.
A tal proposito si utilizza un altro server come Domain Controller, di modo che il processo
dautenticazione ai vari servizi sia bilanciato su due macchine differenti. Stessa sorte per
lSSL-VPN e per il terminal server, cos che eventuali manutenzioni o problemi
88
CAPITOLO 8
6 -Sicurezza
Dal punto di vista della sicurezza, le aree logiche di suddivisione del traffico sono come
mostrato in figura.
Tale suddivisione implica che lapparato che funge da filtro tra le varie zone sia spesso
controllato e verificato sia nel suo funzionamento sia nella sua efficacia.
Lapparato filtrante dove essere fornito di tecnologia Deep-Packet-Inspection che prevede un
controllo della correttezza della comunicazione fino a livello Applicativo. Le funzionalit del
nuovo firmware proposto per il firewall permettono poi di poter potenziare ulteriormente la
granularit del controllo fino alla trasformazione del SonicWALL Pro2040 da Firewall Deep-
89
CAPITOLO 8
Ecco come avverrebbe una transazione tra Agenzia e Sede centrale secondo la proposta sopra
citata:
1. Lutente si collega al portale via browser internet e si autentica;
2. Il client apre una connessione RDP verso un nome DNS portalessl.dominio.net;
3. Il bilanciatore di carico risponde con lIP Pubblico riservato al portale, contestualmente
con la linea internet pi scarica, o con meno utenti connessi.
4. Inserimento di credenziali sul portale per lidentificazione dellutente tramite
laccoppiata utente/password (attraverso lutilizzo di sistemi di autenticazione
avanzata).
5. Fino a questo punto la connessione avverr sempre in maniera crittografata SSL, ma dal
portale SSL sar poi decriptata fino alla macchina di destinazione. Qualsiasi
operazione/comando eseguito durante tutta la sessione di lavoro, il firewall ne
verificher la coerenza con le policy definite, assieme al Packet Shaper che assegner
ad ogni connessione una banda minima in modo da garantire una qualit del servizio.
IPOTESI DI LAVORO
La messa in opera di tale sistema informatico prevede che alcuni componenti siano inseribili
in un secondo momento, dopo aver quindi assodato la logica ed il funzionamento della parte
indispensabile della rete.
Ecco una scaletta in ordine temporale sulle fasi dimplementazione del progetto:
1. Creazione del nuovo ambiente;
90
CAPITOLO 8
PRO 2040
SL
HD it/s
b
M
2
SSL-VPN
2000
91
CAPITOLO 8
Tra i passaggi eseguiti, di fondamentale interesse al fine della realizzazione di questa tesi, vi
sono lattivazione dellSSL-VPN e della strong authentication. Eccoli spiegati qui di seguito.
LSSL-VPN
Per permettere alle agenzie di connettersi in sede centrale tramite VPN realizzate con lSSL si
scelto un apparato dedicato: l SSL-VPN 2000 di SonicWall.
L SSL-VPN offre un accesso semplice e sicuro a reti e applicazioni remote. Per accedere a
posta elettronica, file, applicazioni e pagine Web interne, i dipendenti mobili devono
semplicemente collegarsi a un portale Web utilizzando un normale browser. Qualora siano
richieste maggiori prestazioni, ad esempio per un accesso sicuro e trasparente a risorse della
rete aziendale come server e applicazioni complesse o proprietarie, lappliance invia
automaticamente un client (NetExtender) al computer fisso o al portatile dellutente.
Controlli della configurazione dei criteri a livello granulare: questo consente agli
amministratori della rete di creare criteri che bloccano l'utilizzo di specifiche
applicazioni e risorse da parte di un utente e ne impediscono l'accesso non autorizzato. I
criteri di accesso granulari possono essere impostati a livello utente, di gruppo e globale
per determinate risorse come, ad esempio, una specifica cartella condivisa di file o
un'applicazione. Un controllo dell'accesso dettagliato estende NetExtender anche con il
supporto di pi indirizzi IP e route NetExtender. Questa caratteristica consente agli
amministratori di assegnare specifici indirizzi IP o intervalli di indirizzi IP e specifiche
route a singoli utenti e gruppi, pertanto fornisce un controllo pi granulare su chi pu
accedere e a quali risorse nella rete.
92
CAPITOLO 8
Integrazione con AD: in questo modo laccesso ai vari portali pu essere concesso a
gruppi definiti nel database di account di Active Directory.
93
CAPITOLO 8
Il token
Una volta reso sicuro il canale di comunicazione si passati a rendere sicuro laccesso al
canale; ci stato reso possibile grazie ai meccanismi di strong authentication che abbiamo
applicato.
Strong authentication significa utilizzare due o pi metodi di autenticazione.
Il prodotto scelto per rispondere alle esigenze delle agenzie un token ibrido; che contiene cio
un doppio fattore di autenticazione: un display che visualizza una password OTP e una smart
card contenuta allinterno della chiave usb.
Si scelto questo dispositivo per una serie di motivazioni:
La parte OTP non richiede linstallazione di alcun software quindi non si va a
modificare in alcun modo la parte client; se in futuro si decidesse di implementare
esclusivamente questa parte non si avrebbe nessun problema da parte dellutente finale.
La parte PKI, che contiene il certificato digitale, richiede linstallazione di un software
leggero che non andr ad impattare sulle prestazioni delle macchine client. In futuro
si prevede comunque che alcune patch di windows driver minicard andranno a
sopperire a questo problema visto che sarebbe meglio non installare software sulle
macchine client.
I costi sono contenuti e quindi il cliente pu scegliere dei dispositivi che rispettino i
requisiti ad un TCO pi basso.
Il TMS
Con il dispositivo si scelto di utilizzare il software per la gestione centralizzata dei token, il
TMS (Token Management System). Questo software permette il deploy, la gestione e lutilizzo
dei token.
Le caratteristiche di questo software sono:
Supporto per tutti i dispositivi e le applicazioni eToken come i token NG-OTP che sono
stati scelti per la realt in questione.
94
CAPITOLO 8
Non viene richiesto un server proprietario. In questo modo si possono utilizzare i server
gi in possesso del cliente; particolare non da poco viste le esigenze di budget.
Integrazione con Active Directory. La soluzione va a estendere lo schema di Active
Directory rendendo familiare ed intuitivo il management visto che le policy si possono
gestire direttamente nei task delle propriet utente in Windows. I permessi possono
quindi essere gestiti a livello di utente, Organization Unit, gruppi o addirittura dominio.
Il portale di gestione accessibile via Web; questo permette di gestire i Token da
remoto per gli amministratori e per gli utenti delle agenzie che ne avessero bisogno di
accedere ad un portale self-service, dal quale possono effettuare le operazioni pi
urgenti senza quindi dover spedire il token in sede centrale.
Gestione dei log semplice ed affidabile; questo aspetto di fondamentale importanza
visto che con la certezza dellidentit dellutente data dal possesso del token gli si
possono ricondurre con sicurezza tutte le operazioni da lui effettuate in compliance con
le leggi in materia.
Lintroduzione del TMS nella realt in questione avvenuta nella maniera seguente.
95
CAPITOLO 8
Come primo passo si scelto di installarlo su di un pc per una fase di test. In questo modo la
parte di TMS pu essere testata senza andare ad impattare sullattuale struttura ed possibile,
nel caso non soddisfi i requisiti preposti, ritornare alla situazione iniziale. Il pc era stato
precedentemente preparato con linstallazione di windows server 2003, stato configurato
come domain controller secondario per il dominio in questione, stato installato il radius di
Windows (IAS), il web server (IIS) e la Certification Authority.
Linstallazione del software stata eseguita come da manuale; con linstallazione dei vari
service pack e la predisposizione per lo smart card logon e lOTP logon. Per fare questo sono
stati installati i relativi connettori (pacchetti software che abilitano il TMS a diverse
funzionalit).
Su Active Directory sono stati abilitati 10 utenti ad utilizzare lOTP e lo smart card logon e
sono stati inizializzati 10 token dal portale di management. Tra le policy stato scelto di
utilizzare oltre allOTP un pin di 4 caratteri direttamente impostabile dallutente. Si va in
questo modo ad incrementare la sicurezza poich si vanno a utilizzare due fattori di
autenticazione: qualcosa che ho e qualcosa che so.
La fase successiva stata la distribuzione del token a 10 agenzie campione e labilitazione di
un portale SSL di prova per queste. Su questo portale stata configurata lautenticazione
tramite radius secondo il seguente schema:
96
CAPITOLO 8
Lesito di questa fase stato pi che soddisfacente visto che lunico problema che si
presentato stato che il primo login del mattino non andava mai a buon fine; problema dovuto
alla scheda di rete del pc che, non essendo predisposto per fare da server, andava in risparmio
energetico e interrompeva le comunicazioni con la rete.
La nuova procedura seguita dalle agenzie viene dunque definita come segue:
Si apre Internet Explorer e si va sul portale dellssl; compare una finestra di login che
chiede username e password. Come username si inserisce quello corrispondente
allutente di Active Directory e come password si inserisce il PIN pi i sei caratteri
numerici generati dal token.
Compare una finestra con un link al terminal server; lo si clicca e compare la solita
finestra di logon a windows.
Ora le opzioni sono due: o si preme ctrl+alt+canc e si accede in modo classico a
windows (possibilit che pu essere disabilitata) e si inserisce il token nella porta USB.
In questultimo caso la maschera daccesso cambia in una finestra che richiede
linserimento di un pin; una volta inserito il pin corretto si accede alla sessione di
terminal server.
SVILUPPI FUTURI
Ad oggi si creata una struttura funzionante e notevolmente migliorata rispetto alla situazione
iniziale. I problemi delle agenzie sono stati completamente risolti e la struttura della sede
stata resa pi sicura.
Vista per lespansione, in termini di numero di agenzie, che si sta verificando bisogner
andare ad agire su punti che non sono ancora stati affrontati: ridondanza degli apparati
daccesso in sede centrale e quella della linea internet nelle sedi remote come in quella
centrale.
La ridondanza degli apparati in sede centrale, necessita linstallazione di un secondo firewall in
High Availabilty (HA) e dellinstallazione di un secondo SSL-VPN. In questo modo il carico
di lavoro sar diviso tra due macchine; questo aiuter le macchine a dare risposte pi veloci e
nel caso una delle due dovesse compromettersi, automaticamente tutto il carico passerebbe alla
macchina funzionante fino ad un intervento.
Per quanto riguarda lHA sullssl baster collegarli in due porte differenti del firewall e di
sessione in sessione traslare (nat) lindirizzo pubblico sui due indirizzi privati.
97
CAPITOLO 8
Per la linea internet si scelto di cambiare contratto attivando un HDSL da un provider che, in
caso di cadute di linea, ne porta una seconda (che parte da una centrale differente) in wireless
mantenendo gli stessi IP pubblici.
Per quanto riguarda la ridondanza della linea Internet delle agenzie, si provveder allutilizzo
di nuovi firewall/router dotati delle funzionalit in grado di sfruttare, in caso di assenza di linea
sullinterfaccia principale, le reti UMTS, HSDPA, 3G, garantendo quindi la completa
accessibilit alle applicazioni centralizzate.
98
Bibliografia
99